Daten ohne Schutz: GlÃÂ¤serne Belegschaften? GlÃÂ¤serne Betriebe ...

5. dtb-Forum für Arbeitnehmervertreter 2010 

Daten ohne Schutz: 

Gläserne Belegschaften? 

Gläserne Betriebe! 

Neue Technik, neues Recht – der Aufbruch in eine neue 

Dimension jetzt auch im Arbeitnehmerdatenschutz? 

9.–11. November 2010 in Kassel 

Gerhart Baum Wolfgang Däubler Thilo Weichert Ulrike Schramm- 

De Robertis 

Thomas Hoeren Thomas Leif

5. dtb-Forum für Arbeitnehmervertreter 2010 

Daten ohne Schutz: 

Gläserne Belegschaften? 

Gläserne Betriebe! 

Neue Technik, neues Recht – der Aufbruch in eine neue 

Dimension jetzt auch im Arbeitnehmerdatenschutz? 

9.–11. November 2010 in Kassel

Inhaltsverzeichnis 

Interview 

mit Ulrike Schramm-de Robertis .................................................................................................................................. 4 

Thilo Weichert: 

Freiheit statt Angst – Arbeitnehmerdatenschutz – Klarheit für Unternehmen und Beschäftigte ......... 6 

Thilo Weichert: 

Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein 

zum Gesetzesentwurf der Bundesregierung zur Regelung des Beschäftigtendatenschutzes ................... 18 

Gerrit Wiegand, Jens Mösinger: 

Der Chef surft mit ............................................................................................................................................................. 29 

Marie-Theres Tinnefeld · Thomas Petri · Stefan Brink: 

Aktuelle Fragen um ein Beschäftigtendatenschutzgesetz ................................................................................. 51 

Dr. Eberhard Kiesche · Matthias Wilke 

Gemeinsam handeln! Zur Zusammenarbeit von Datenschutzbeauftragtem und Betriebsrat .............. 60 


SAP-Vereinbarungen am system überprüfen .......................................................................................................... 63 


Datenschutz durch Datenvermeidung und Datensparsamkeit 

Die neuen Regelungen im Bundesdatenschutzgesetz ........................................................................................ 69 


Der Datenschutz-Leitfaden SAP ERP 6.O ................................................................................................................... 77 

Gesetzentwurf der Bundesregierung 

Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes ....................................................... 78 

Stellungnahme des DGB 

zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes ............................................. 132 

Stellungnahme des BDA 

zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes ............................................. 132 

Stellungnahme des Deutschen Richterbundes 

zum Referentenentwurf des Bundesministeriums für Arbeit und Soziales ................................................. 152 

Bundesdatenschutzgesetz (BDSG) 2009 ............................................................................................................................... 155 

3

Interview 

FRAGE Frau Schramm-de Robertis, es gibt kaum 

Betriebsräte bei Lidl, vielmehr hat das Unternehmen 

den Ruf, die Gründung von Betriebsräten systematisch 

zu verhindern. Sie sind Betriebsrätin und gleichzeitig 

Filialleiterin. Wie haben Sie das geschaff t? 

ANTWORT Alle 17 Mitarbeiter in der Filiale haben 

zusammengehalten und sich solidarisiert, obwohl 

wir wussten, was auf uns zukommen kann – nämlich 

dass wir alle entlassen werden können. Wir haben uns 

aber entschlossen, dass wir nicht mehr unter diesen 

Arbeitsbedingungen arbeiten. Ich habe zu meinen 

Mitarbeiterinnen gesagt, wir können nicht immer 

davonlaufen, wir müssen versuchen, die Situation 

an unserem Arbeitsplatz zu ändern. Weil wir hart 

geblieben sind, hatte Lidl gar keine andere Wahl als 

einzulenken. Schließlich haben wir nur unsere Rechte 

wahrgenommen. 

FRAGE Hat sich Lidl damit abgefunden oder wurden Sie 

in Ihrer Arbeit als Betriebsrätin behindert? 

ANTWORT Im Großen und Ganzen funktioniert die 

Zusammenarbeit heute gut. Man sucht auch das Gespräch 

mit mir. Also ich war noch nicht auf dem Arbeitsgericht 

und musste noch kein Beschlussverfahren beantragen. 

Ganz am Anfang haben sich meine Vorgesetzten aber 

schwer getan, manchmal ist das auch heute noch der Fall. 

Denn gibt hin und wieder Entscheidungen, die sie alleine 

treff en, obwohl ich Mitspracherechte hätte. Aber das sage 

ich ihnen dann. Ich habe keine Angst mehr. 

FRAGE Was hat sich dadurch für Sie und Ihre Kolleginnen 

in der Filiale geändert? 

ANTWORT Dass das Arbeitsgesetz eingehalten wird. Elf 

Stunden Ruhepause, keine Schikanen mehr, sondern ein 

normaler Umgangston, keine Arbeit mehr auf Abruf, und 

dass Überstunden bezahlt werden. Das Wichtigste für uns 

war, dass wir ohne Angst arbeiten konnten. 

FRAGE Lidl ist seit Jahren wegen Missachtung von 

Arbeitnehmerrechten und Willkür von Vorgesetzten in der 

Kritik. Sie schreiben in Ihrem Buch, dass Sie Lidl früher jede 

Sauerei zugetraut haben. Gilt das immer noch? 

ANTWORT Nein. Meiner Meinung nach kann sich Lidl 

das nicht mehr erlauben, denn der Discounter ist so oft 

in der Öff entlichkeit und muss auch wettbewerbsfähig 

bleiben. Ich habe den Arbeitgeber drauf aufmerksam 

gemacht: So geht man nicht mit den Mitarbeitern um. Das 

ist doch nichts Schlimmes. Es kümmert sich ja niemand um 

Missstände, es geht immer nur um Gewinn und Umsatz. 

4 

Das war das Manko bei Lidl. Dabei sind die Mitarbeiter 

doch das Herzstück. 

FRAGE Das Unternehmen hat schon lange einen 

schlechten Ruf und der Skandal um Krankheitsdaten und 

die Spitzelaff äre haben noch mehr geschadet. Warum 

haben Sie sich bei Lidl beworben und arbeiten immer 

noch dort? 

ANTWORT Ich war bei Kik und wollte mich verbessern 

und wurde über den Tisch gezogen. Man fi ndet ja selten 

Familienbetriebe, wo man als Filialleiterin arbeiten 

kann, denn Konzerne und Discounter beherrschen den 

Einzelhandel. Ich kam durch meine Freundin zu Lidl, die 

sagte: „Du musst zwar auch wieder Überstunden machen, 

aber die zahlen wenigstens Tarifl ohn.“ Den hatte ich bei 

Kik nicht. 

FRAGE Lidl hat kurz vor Erscheinen Ihres Buches Ende 

Februar einen Vorstoß in Sachen Mindestlohn gemacht. 

Glauben Sie, dass das ein Ablenkungsmanöver war, oder 

würde Lidl von einem Mindestlohn profi tieren? 

ANTWORT Lidl zahlt Tarifl öhne, die höher liegen als 

ein Mindestlohn. Ich denke das war ein Vorstoß, um das 

Lohndumping zu unterbinden. Tarifl ohn ist super, aber es 

kommt darauf an, ob man auch die tarifl ich festgelegte 

Arbeitzeit arbeitet oder mehr. 

FRAGE Mit einem Korruptionsexperten will Lidl 

nun für mehr Off enheit im Unternehmen sorgen. 

Alle Mitarbeiter in Deutschland können sich an einen 

ehemaligen Staatsanwalt wenden, wenn sie Hinweise 

auf Unregelmäßigkeiten oder Korruption haben. Ist das 

nur ein Feigenblatt in Sachen Image oder bringt das Ihrer 

Meinung nach was? 

ANTWORT Das Schreiben habe ich auch bekommen. 

Ich als Betriebsrat habe es für unsere Filiale abgelehnt, 

dass sich die Mitarbeiter an diesen Korruptionsexperten 

wenden, weil ich damit die Ordnung im Betrieb 

gefährdet sehe. Ich sehe darin nämlich eine Bespitzelung 

untereinander. Jeder bespitzelt jeden, und wir brauchen 

wir keine Kameras mehr. Ich will mal ein Beispiel nennen: 

Jemand kann den anderen nicht leiden und schwärzt 

ihn dann bei dem Korruptionsexperten an, nach dem 

Motto, da nimmt einer immer irgendwelche Unterlagen 

mit. Für mich ist das ein Desaster, denn jeder kann jeden 

anschwärzen und damit ist das Misstrauen noch größer – 

auch wenn es von Lidl gut gemeint sein mag. 

FRAGE Wurden Sie in Ihrer Filiale auch überwacht?

ANTWORT Nein. Wir hatten ja einen Betriebsrat und 

damit Mitbestimmungsrecht. Wir haben die Kameras 

abgelehnt und wegen möglicher Inventurdiff erenzen auf 

andere Methoden gesetzt. 

FRAGE Die Gewerkschaft Verdi hat schon vor Jahren 

das Schwarzbuch Lidl herausgegeben – Motto: Billig auf 

Kosten der Beschäftigten. Ist das heute noch so? 

ANTWORT Zur Zeit nicht. Lidl hat sich gebessert, der 

Umgangston hat sich verändert. Man versucht auch, fair 

miteinander umzugehen. Davon profi tieren alle. 

FRAGE Was müsste Lidl tun, um das Image aufzupolieren? 

ANTWORT Wie gesagt, man versucht fair mit den 

Mitarbeitern umzugehen. Für mich ist aber entscheidend, 

ob das langfristig gelingt, also nachhaltig ist. Es gibt 

keine unabhängige Institution bei Lidl. Bei langjährigen 

Mitarbeitern kann ich mir es noch vorstellen, denn Sie 

haben die schlimmen 

Arbeitsbedingungen mitgemacht, wenn man etwas sagt, 

hat man mehr Probleme als vorher. Der Vorteil in unserer 

Filiale ist, dass wir einen Betriebsrat haben. Die Mitarbeiter 

haben Vertrauen, kommen zu mir und ich muss reagieren 

und helfen. Ich nehme dafür gerne einen Vergleich: Die 

Feuerwehr ist eine ständige Einrichtung – und nicht nur, 

wenn es brennt. So sollte es auch im Betrieb sein – es sollte 

eine ständige Einrichtung geben, an die sich Mitarbeiter 

ohne Angst wenden können. Die Möglichkeit dazu gibt es, 

indem Betriebsräte gewählt werden. 

FRAGE Die sind aber rar. Sie sind eine von weniger als 

zehn Betriebsräten in über 3500 Lidl-Filialen. Bald sind 

Betriebsratswahlen. Glauben Sie, dass ein Ruck durch die 

Belegschaft geht und es bei Lidl bald mehr Betriebsräte gibt? 

ANTWORT Nein. Wir wenigen Betriebsräte haben 

eigentlich dafür gesorgt, dass es besser wird im 

Unternehmen – durch unsere Gründungen und die 

Aufmerksamkeit, die wir erreichten. Lidl hat darauf reagiert. 

Offi ziell heißt es bei Lidl, dass Betriebsräte gegründet 

werden können und jeder wählen kann. Bei den ersten 

Betriebsräten gab es aber Repressalien. Manche fragten 

sich daraufhin, warum sollte man sich das jetzt antun. 

FRAGE Wenn Sie auf ihr Berufsleben zurückblicken 

– einschließlich der Zeit bei Kik und Plus – was war die 

schlimmste Erfahrung? 

ANTWORT Dass man einen Menschen ganz 

runterziehen kann, sein Selbstwertgefühl zerstören, 

ihm die Würde nehmen. Und das wurde bei mir bei Lidl 

gemacht und auch bei meinen Mitarbeitern. Und das 

Schlimme war, dass man als Chefi n nicht helfen konnte, 

wenn einer gedemütigt wurde. 

FRAGE Woher haben Sie die Kraft genommen, sich zu 

wehren und für den Betriebsrat zu kandidieren? 

ANTWORT Die Kraft habe ich aus meinen Kindern 

geschöpft. Ich habe fünf Kinder zu ernähren und musste 

arbeiten. Ich war an einem Punkt angelangt, an dem ich 

gesagt habe, es geht nicht mehr. Man kann nur versuchen, 

die Situation zu ändern, dass wir nicht mehr gedemütigt 

und Gesetze eingehalten werden. 

FRAGE Gibt es auch Positives? 

ANTWORT Wir sind das gallische Dorf. So werden 

wir teilweise behandelt. Es haben sich schon mehrere 

Mitarbeiter für höhere Positionen oder für andere Märkte 

beworben. Von der Regionalgesellschaft gab es dann aber 

immer wieder komische Ausreden. Ich denke daher man 

hat Angst, dass eine von uns die Mitarbeiter in der neuen 

Filiale dazu bewegen könnte, auch einen Betriebsrat zu 

wählen. 

FRAGE Aber im Alltag lebt es sich ganz gut im gallischen 

Dorf - oder? 

ANTWORT Ja, aber das haben wir erreicht, weil wir 

uns getraut haben, Rechte, die uns zustehen, von Lidl 

einzufordern. Wir arbeiten gerne bei Lidl, aber wir möchten 

auch von den nächsten Vorgesetzten als Mensch und 

Mitarbeiter behandelt werden und nicht als Sklaven – so 

wurden wir ja teilweise gehalten. 

aus: Stuttgarter Nachrichter, Juni 2010 

5

6 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

www.datenschutzzentrum.de 

� �� 

� �� 

� �� 

� �� 

�� 

� �� 

� �� 

�� 

� �� 

� �� 

�� 

��


�� 

�� 

Kontrolle Beratung Ausbildung 

inkl. 

DATEN- 

SCHUTZ- 

AKADEMIE 

Primäre 

Adressaten: 

Verwaltung 

Wirtschaft 

Bürger 

IT-Labor Modell- 

Projekte 

Gütesiegel Audit 

�� 


Wirtschaft, 

Wissenschaft, 

Verwaltung 

�� 

� �� 

� �� 

� �� 

�� 

� �� 

� �� 

� �� 

� �� 

� �� 

� �� 

� �� 

�� 

7

8 


�� 

� �� 

� �� 

�� 

� �� 

� �� 

� �� 

�� 

� �� 

� �� 

� �� 

� �� 

� �� 

�� 


�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

��


�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 


�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

9

10 


�� 

� �� 

� �� 

�� 

� �� 

� �� 

� �� 

� �� 

� �� 

� �� 

�� 

�� 


�� 

� �� 

�� 

�� 

� �� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

��


�� 

� �� 

� �� 

� �� 

� �� 

� �� 

� �� 

� �� 

� �� 

�� 


�� 

� � �� 

�� 

� � �� 

�� 

� � �� 

�� 

� � �� 

�� 

�� 

11

12 


�� 

� �� 

�� 

�� 

� �� 

�� 

�� 

� �� 

�� 

�� 

� �� 

�� 

�� 

�� 


�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

��


�� 

� �� 

�� 

� �� 

�� 

�� 

� �� 

�� 

� �� 

�� 


�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

13

14 


�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� �� 

�� 

�� 


�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

��


�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 


�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

15

16 


�� 

� �� 

� �� 

� �� 

� �� 

�� 

� �� 

�� 

� �� 

� �� 

�� 


� �� 

�� 

� �� 

� �� 

�� 

�� 

� �� 

�� 

�� 

��


�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

17

18 

Stellungnahme des Unabhängigen 

Landeszentrums für Datenschutz 

Schleswig-Holstein 

zum Gesetzesentwurf der 

Bundesregierung 

zur Regelung des 

Beschäftigtendatenschutzes 

(BR-Drs. 535/10), Stand 12.10.2010 

Der durch die Bundesregierung vorgelegte Entwurf eines 

Beschäftigtendatenschutzgesetzes als Teil des Bundesdatenschutzgesetzes weist 

neben handwerklichen Fehlern gravierende inhaltliche Defizite auf. Es verstößt in 

einzelnen Regelungen gegen europarechtliche und gegen verfassungsrechtliche 

Vorgaben. Er geht auf die Absichtserklärung des Koalitionsvertrages auf 

Bundesebene von CDU, CSU und FDP vom Herbst 2009 zurück, wo es heißt: "Wir 

setzen uns für eine Verbesserung des Arbeitnehmerdatenschutzes ein und wollen 

Mitarbeiterinnen und Mitarbeiter vor Bespitzelungen an ihrem Arbeitsplatz wirksam 

schützen." Diese politische Absichtserklärung, die abgegeben wurde angesichts 

einer Vielzahl von Datenschutzskandalen im Arbeitsbereich in den Jahren 2008 und 

2009, wird mit dem Entwurf leider nicht erreicht. Der Entwurf zielt darauf ab, 

Arbeitgebern umfangreiche Eingriffsrechte in die Persönlichkeits- und Freiheitsrechte 

der Beschäftigten an die Hand zu geben. Diese führen teilweise zu einer 

Legalisierung der in der Vergangenheit als Skandale bekanntgewordenen Praktiken, 

also von bisher eindeutig rechtswidrigen und von der öffentlichen Meinung 

abgelehnten Kontrollmaßnahmen durch Arbeitgeber. 

Mit dem Beschäftigtendatenschutzrecht wird eine spezifische Form des 

Arbeitsrechtes normiert. Dem Entwurf gelingt es leider nicht, das Datenschutzrecht 

und das individuelle wie das kollektive Arbeitsrecht wirksam zusammenzuführen. 

Tatsächlich gibt es regelungsbedürftige Gemengelagen, z. B. hinsichtlich von 

Verwertungsverboten, kollektiver Regelungs- oder auch Klagemöglichkeiten oder 

Transparenzanforderungen. 

Der Gesetzesentwurf ist von einem grundsätzlichen Argwohn von Arbeitgebern 

gegenüber ihren Beschäftigten geprägt. Das für eine nachhaltige 

Beschäftigungsbeziehung erforderliche Vertrauen zwischen den Beteiligten wird 

dadurch nicht gefördert. Der Entwurf legalisiert – oft unter Missachtung des 

Verhältnismäßigkeitsgrundsatzes – die Überwachung und Kontrolle von 

Beschäftigten durch Arbeitgeber. Er kann damit dazu beitragen, eine Atmosphäre 

des Misstrauens zu schüren. 

Der Entwurf zur Regulierung des Beschäftigtendatenschutzes wählt, anders als 

bisher regelmäßig vorgeschlagen, eine Normierung im

Bundesdatenschutzgesetzes. Zwar wird dadurch klar gestellt, dass neben diesen 

speziellen Normen auch Regelungen des allgemeinen Datenschutzes anwendbar 

bleiben. Dieser eher unbedeutende Vorteil wird aber mit einer Vielzahl von 

Nachteilen erkauft: Ein separates Beschäftigtendatenschutzgesetz wäre gegenüber 

Arbeitgebern und Arbeitnehmern leichter vermittelbar; eine Regulierung im BDSG (§§ 

32 bis 32l) erleichtert weder die Vermittlung in der Praxis noch deren Anwendung 

(z. B. als Aushang für Arbeitnehmerinnen und Arbeitnehmer). Die Aufnahme von 

Spezialmaterien ins BDSG führt zu einer zunehmenden Unübersichtlichkeit und 

Unverständlichkeit des Gesamtgesetzes. 

Der Gesetzesentwurf lässt ein zentrales und in der Praxis zunehmendes Problem 

bewusst ungeregelt (siehe Begründung S. 1): die Übermittlung von 

Beschäftigtendaten innerhalb eines Konzerns und im internationalen Kontext. Die 

aufsichtsbehördliche Praxis zeigt, dass gerade insofern bei den Unternehmen, im 

Mittelstand wie in der Großindustrie, große Unsicherheit herrscht. Es ist 

wünschenswert, diese Rechtsunsicherheit zu beenden. Befugnisse zur 

Datenübermittlung in Konzernen sollten nicht generell im Datenschutzrecht 

eingeräumt werden, sondern spezifisch, z.B. bzgl. der Daten von Beschäftigten, 

denen die Konzerneingebundenheit ihres Unternehmens regelmäßig transparent ist. 

Der Entwurf lässt viele weitere u. E. regelungsbedürftige Fragen ungeregelt, so 

z. B. die Zulassung von kollektivrechtlichen Klagemöglichkeiten, die Durchführung 

von Tele- bzw. Heimarbeit, die private Nutzung von 

Telekommunikationseinrichtungen oder ein strukturiertes Verfahren des 

Whistleblowing. Bei den meisten der genannten Themen geht es um eine Klärung 

und Verbesserung der Rechtslage für alle Beteiligten, also Arbeitnehmer- wie 

Arbeitgeberschaft. 

Rechtlich unklar ist, inwieweit der Entwurf Arbeitnehmer im öffentlichen Dienst 

von Ländern und Kommunen erfassen soll. 

Der Entwurf soll Gegenstand der Beratungen des Ausschusses für Innere 

Angelegenheiten des Bundesrates voraussichtlich Ende Oktober sein. Das 

Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) schlägt 

Änderungen des Gesetzesentwurfes vor. Diese werden im Folgenden dargestellt und 

begründet. 

Einzelanmerkungen 

§ 3 Abs. 12 

Die Norm, wonach personenbezogene Daten von Beschäftigten „Beschäftigtendaten“ 

sind, lässt einen Regelungsinhalt vermissen. Eine Bezugnahme und Eingrenzung bei 

der Definition des Begriffs „Beschäftigtendaten“ auf Daten aus bzw. im 

Beschäftigungsverhältnis ist hinsichtlich der Intention des Entwurfes sinnvoll. Nach 

der vorliegenden Definition werden – wohl unbeabsichtigt - auch Daten eines 

Beschäftigten, die offensichtlich nicht zum Zweck der Ausfüllung eines 

Beschäftigungsverhältnisses verarbeitet werden, erfasst. Es wird eine 

Konkretisierung empfohlen. 

§ 4 Abs. 1 i.V.m. Ziff. 7 § 32l Abs. 5 

19

20 

§ 4 Abs. 1 des Entwurfes stellt klar, dass sich die Rechtmäßigkeit der 

Datenverarbeitung auch aus Betriebsvereinbarungen ergeben kann. § 32 Abs. 5 

verbietet zwar eine Abweichung zu Ungunsten Beschäftigter. Daraus ergibt sich 

jedoch nicht zwangsläufig, dass das Schutzniveau des BDSG durch eine 

Betriebsvereinbarung nicht unterlaufen wird. Der Verweis auf die herrschende 

Meinung in der Gesetzesbegründung ist u. E. nicht ausreichend. Vor allem von 

Seiten der Arbeitgeber wird diese Rechtsauffassung nicht geteilt. Eine gesetzliche 

Klarstellung ist zu empfehlen. 

Im Interesse der Rechtsklarheit ist zudem wünschenswert, dass auch Tarifverträge 

ausdrücklich erfasst werden. 

§ 32l Abs. 5 kann wie folgt formuliert werden: 

„Von den Vorschriften dieses Unterabschnittes darf nicht zu Ungunsten der 

Beschäftigten abgewichen werden. Dies gilt auch für Rechtsvorschriften gemäß § 

4 Abs. 1 Satz 2.“ 

§ 27 Abs. 3 

Die Klarstellung, dass auch Personalakten unter den Anwendungsbereich des 

BDSG fallen, ist zu begrüßen. 

§ 32 Abs.2 

Die Regelung dient einer Einschränkung der Verarbeitung besonders sensibler 

Daten. Dies ist aber sowohl gesetzestechnisch wie auch inhaltlich nicht geglückt. Die 

Verweisung in § 32 Abs. 2 auf § 8 Abs. 1 AGG erfasst auch Vermögensverhältnisse, 

Vorstrafen und Ermittlungsverfahren. Diese Merkmale sind jedoch nicht Gegenstand 

des § 8 Abs. 1 AGG. § 8 Abs. 1 AGG regelt - entgegen der Begründung - keine 

strengen Voraussetzungen der Verarbeitung sensibler Daten. Hinsichtlich der 

Rechtsfolgen sind die §§ 13 ff. AGG anwendbar. Die Bezugnahme des Verweises 

sollte korrigiert bzw. geklärt werden. 

Die Erhebung von Angaben zu Vermögensverhältnissen ist in Übereinstimmung 

mit der Rechtsprechung des Bundesarbeitsgerichtes (BAG) nur dann zulässig, wenn 

dies im Sinne des § 32 Abs. 1 für die spätere auszuübende Tätigkeit des Betroffenen 

erforderlich ist. In Betracht kommen aber nur Tätigkeiten, die eine außergewöhnliche 

personale Vertrauensstellung begründen (z. B. leitende Angestellte). Allgemeine 

finanzielle Risiken dürfen eine Bonitätsprüfung in keinem Fall rechtfertigen und schon 

gar keine Erhebung der „Vermögensverhältnisse“. Genau dieses sieht der Entwurf 

aber vor. Eine schlechte Bonitätsbewertung ist nicht ansatzweise ein Indiz für zu 

erwartende Untreue im Betrieb. Arbeitseinkommen soll Menschen dazu bringen, 

finanzielle Engpässe zu überwinden. Die Regelung läuft darauf hinaus, dass 

überschuldete Personen es künftig erheblich schwerer haben werden, einkömmliche 

Beschäftigungen zu finden. Dies wäre in jeder Hinsicht nicht akzeptabel. 

Die Erhebung von Informationen über laufende Ermittlungsverfahren sollte unter 

Beachtung des Grundsatzes der Unschuldsvermutung nur dann zulässig sein, wenn 

ein überwiegendes berechtigtes Interesse seitens der verantwortlichen Stelle vorliegt. 

Grundsätzlich ist von einer Unzulässigkeit der Frage auszugehen. Nur im Falle des 

Schutzes besonders hochwertiger Rechtsgüter wie z. B. Leben oder sexuelle 

Selbstbestimmung ist eine Abweichung von diesem Grundsatz zu rechtfertigen.

Informationen zu Vorstrafen sind nur zulässig, soweit das 

Bundeszentralregistergesetz eine Auskunft aus dem Register zulässt. Betriebliche 

Praktiken zur Umgehung der Vorgaben des Bundeszentralregistergesetzes 

(Einholung einer Eigenauskunft der Betroffenen, Geltendmachung des 

datenschutzrechtlichen Auskunftsanspruches gegenüber Strafverfolgungsbehörden) 

müssen gesetzlich ausgeschlossen sein. 

§ 32 Abs. 6 Satz 2ff. 

Die Regelung bemüht sich erfolglos um eine differenzierte Regelung von 

Internetrecherchen durch den Arbeitgeber. Eine Überprüfung der Einhaltung der in 

§ 32 Abs. 6 S. 2ff. BDSG vorgesehenen Ausnahmen vom Direkterhebungsprinzip ist 

in der Praxis nicht durchsetzbar. Eine Abweichung von den allgemeinen Regelungen 

ist auch nicht nötig. Daher sollte auf eine Internet-Regelung völlig verzichtet werden. 

Die generelle Erhebungsbefugnis aus allgemein zugänglichen Quellen ist nicht zu 

rechtfertigen. Es besteht hierfür keine Notwendigkeit. In jedem Fall muss 

gewährleistet werden, dass für die Betroffenen Transparenz hergestellt wird, so wie 

dies aus § 4 Abs. 2 Nr. 2b BDSG abzuleiten ist. Im Rahmen des 

Bewerbungsverfahrens müssen die Betroffenen die Möglichkeit haben, zu aus 

allgemeinen Quellen erlangten Erkenntnissen Stellung zu beziehen. In ihrer 

Entschließung vom 22.06.2010 hat die Konferenz der Datenschutzbeauftragten des 

Bundes und der Länder die Erwartung ausgesprochen, dass der Gesetzgeber 

Datenerhebungen aus allgemein zugänglichen Quellen "untersagt oder zumindest 

wirksam begrenzt und die Arbeitgeber dazu verpflichtet, die Betroffenen aktiv - und 

nicht erst auf Nachfrage - darüber aufzuklären, woher die verwendeten Daten 

stammen." 

In der Praxis ist eine Unterscheidung zwischen Sozialen Netzwerken, die der Pflege 

von rein privaten Beziehungen und der Darstellung der beruflichen Qualifikation 

dienen, nicht möglich. Ebenso ist eine Unterscheidung zwischen Sozialen 

Netzwerken und sonstigen öffentlichen Quellen nicht vornehmbar. 

§ 32a Abs. 1 

Die Durchführung ärztlicher Untersuchungen soll davon abhängig gemacht 

werden, dass der zu untersuchenden Gesundheitszustand eine wesentliche und 

entscheidende Anforderung für die Besetzung der Stelle ist. Die Anforderungen 

sollten aber nicht individuell, sondern generalisierend, z. B. durch gesetzlich oder 

berufsgenossenschaftlich anerkannte Regelungen, definiert worden sein. Der 

Entwurf überlässt es dem Arbeitgeber zu entscheiden, welches die Anforderungen 

sind. Der Entwurf bedarf insofern einer Konkretisierung. 

Der Zeitpunkt der Durchführung der Untersuchung sollte klargestellt werden. 

Ärztliche Einstellungsuntersuchungen sind erst vorzunehmen, wenn die 

grundsätzliche Entscheidung über die Einstellung des Beschäftigten bereits getroffen 

und die Begründung des Beschäftigungsverhältnisses lediglich von der Feststellung 

der gesundheitlichen Eignung abhängig ist. Diese Anforderung ergibt sich nicht aus 

dem Entwurf. 

Die in § 32a Abs. 1 S. 2 erwähnte „Einwilligung“ ist aus datenschutzrechtlicher Sicht 

fragwürdig, da diese durch den Beschäftigten nicht bzw. nur beschränkt freiwillig 

21

22 

abgegeben wird. Ist die Untersuchung notwendiger Bestandteil des Verfahrens, kann 

der Beschäftigte nur mit der Folge der Nichtbegründung des 

Beschäftigungsverhältnisses die Einwilligung verweigern. Daher sollte das 

Einwilligungserfordernis durch eine reine Informationsverpflichtung des Arbeitgebers 

ersetzt werden. 

§ 32a Abs. 1 kann wie folgt gefasst werden: 

Der Arbeitgeber darf nach Feststellung der fachlichen Eignung und Befähigung 

des Beschäftigten für das Beschäftigungsverhältnis dessen Begründung von 

einer ärztlichen Untersuchung abhängig machen, wenn und soweit die Erfüllung 

bestimmter gesundheitlicher Voraussetzungen wegen der Art der auszuübenden 

Tätigkeit oder der Bedingungen ihrer Ausübung eine wesentliche und entscheidende 

berufliche Anforderung zum Zeitpunkt der Arbeitsaufnahme darstellt. Die 

Voraussetzungen der gesundheitlichen Eignung müssen durch gesetzliche 

oder berufsgenossenschaftlich anerkannte Regelungen definiert sein. Der 

Beschäftigte muss über die Art, den Umfang und den Zweck der Untersuchung 

sowie die Weitergabe des Untersuchungsergebnisses an den Arbeitgeber 

vorher aufgeklärt werden. Dem Beschäftigten ist das vollständige 

Untersuchungsergebnis mitzuteilen. Dem Arbeitgeber darf nur mitgeteilt werden, ob 

der Beschäftigte nach dem Untersuchungsergebnis für die vorgesehenen Tätigkeiten 

geeignet ist. 

§ 32a Abs. 2 

Satz 2, 2. Halbsatz ist ersatzlos zu streichen. Die Einschränkung der Anforderung an 

die Wissenschaftlichkeit des Eignungstest ließe abstruse derartige Tests zu. 

Tests mit zweifelhaftem Aussagegehalt über die Eignung eines Beschäftigten sind 

nicht erforderlich für die Einstellungsuntersuchung. Nur Eignungstests mit 

wissenschaftlicher Anerkennung in Hinblick auf den Untersuchungsgegenstand 

sollten datenschutzrechtlich zulässig sein. 

§ 32b Abs. 2 

§ 32b Abs. 2, wonach Daten im Bewerbungsverfahren genutzt werden dürfen, "wenn 

der Beschäftigte die Daten dem Arbeitgeber übermittelt hat, ohne dass der 

Arbeitgeber hierzu Veranlassung gegeben hat", ist nicht normenklar. Erfasst werden 

alle Daten, die dem Arbeitgeber durch den Beschäftigten unaufgefordert zugesandt 

wurden. Dies gilt auch für Daten, von denen er nach den Erhebungsvorschriften des 

§§ 32, 32a keine Kenntnis haben darf. Die Regelung soll Initiativbewerbungen 

erfassen. Der Anwendungsbereich der Norm ist jedoch viel weiter. Es werden auch 

Fälle geregelt, in denen z. B. der Beschäftigte vor Begründung des 

Beschäftigtenverhältnisses Kunde des Unternehmens war oder versucht hat zu 

werden. So könnten Unternehmen nach dieser Vorschrift abgelehnte Kreditanträge, 

Kundenbeschwerden oder Ähnliches in den Entscheidungsprozess einbeziehen. Der 

Satz sollte daher lauten: 

Satz 1 Nummer 2 gilt nicht, wenn der Beschäftigte die Daten dem Arbeitgeber zum 

Zweck der Begründung eines Beschäftigungsverhältnisses übermittelt hat, ohne 

dass der Arbeitgeber hierzu Veranlassung gegeben hat. 

§ 32b Abs. 3 letzter Halbsatz

§ 32 Abs. 3 letzter Halbsatz erfasst die Situation, dass am Ende eines 

Einstellungsverfahrens die zu diesem Zweck erhobenen Daten gelöscht werden 

müssen. Es kann jedoch im Interesse des Beschäftigten und des Arbeitgebers sein, 

die Daten über diesen Zeitpunkt hinaus aufzubewahren, vor allem, wenn zu einem 

späteren Zeitpunkt möglicherweise eine andere Stelle zu besetzen ist. Die 

Formulierung sollte die Zweckbestimmung der Einwilligungserteilung präzise 

beschreiben, z. B. durch die Formulierung „z. B. in Hinblick auf eine möglich, spätere 

Begründung eines Beschäftigungsverhältnisses“ ergänzt werden. 

Die derzeitige Formulierung widerspricht der Wertung des AGG. Gemäß § 15 Abs. 4 

AGG müssen abgelehnte Bewerber innerhalb von 2 Monaten Ansprüche auf 

Schadensersatz wegen eines Verstoßes gegen das Benachteiligungsverbot geltend 

machen. Die Frist beginnt im Falle einer Bewerbung oder eines beruflichen Aufstiegs 

mit dem Zugang der Ablehnung. § 15 Abs. 4 AGG ist keine gesetzliche 

Aufbewahrungsvorschrift i.S.d. § 35 Abs. 3 Nr. 1 BDSG, die einer Löschung der 

Daten entgegensteht. Die Anwendung des Entwurfes hätte die Vereitelung des 

Rechtsschutzes sowohl für die Beschäftigten als auch den Arbeitgeber zur Folge. Für 

die Geltendmachung einer unzulässigen Benachteiligung genügt der Nachweis von 

Indizien. Der Arbeitgeber kann gemäß § 22 AGG verpflichtet sein, das Gegenteil zu 

beweisen. Eine Verpflichtung zur sofortigen Löschung würde die Beweisführung für 

den Arbeitgeber erheblich erschweren. In der Praxis der Aufsichtsbehörden wird dem 

Arbeitgeber eine verlängerte Frist gewährt. In dieser müssen die Daten gesperrt, 

jedoch nicht gelöscht werden. Eine explizite Regelung für diese Vorgehensweise 

existiert derzeit nicht. Das Problem könnte hier einer Lösung zugeführt werden. 

§ 32c Abs. 1 

Der Katalog der in § 32c Abs. 1 Satz 2 genannten Zwecke für die Erhebung 

personenbezogener Daten im Beschäftigungsverhältnis ist abschließend und 

erfasst sämtliche möglichen Gründe für eine Erhebung. Es ist nicht erforderlich, 

durch die Verwendung des Wortes „insbesondere“ weitere Zwecke zuzulassen. Das 

Wort ist zu streichen. 

Die pauschale Zulassung von „Leistungs- und Verhaltenskontrollen“ nach Abs. 1 

S. 2 Nr. 3, eingeschränkt nur durch das Verhältnismäßigkeitsprinzip (Abs. 4), kehrt 

das generell geltende Regel-Ausnahme-Verhältnis in sein Gegenteil. 

Satz 3 verweist auf die Erhebungsvorschrift des § 32 Abs. 6 und lässt eine Erhebung 

von Beschäftigtendaten im Arbeitsverhältnis auch über das Internet oder soziale 

Netzwerke zu. Schon im Bewerbungsverfahren ist die Erhebung aus allgemein 

zugänglicher Quellen problematisch; während eines bestehenden 

Beschäftigungsverhältnisses gibt es hierfür keine erkennbare Notwendigkeit. Die 

Verweisung auf § 32 Abs. 6 ist zu streichen. 

§ 32c Abs. 3 bezieht sich auf die Erhebung von Daten durch Gesundheits- und 

Eignungstest gemäß § 32b. Die vorgeschlagenen Beschränkungen für die 

Erhebung von Informationen aus derartigen Test ist auch auf diesen Absatz 

anzuwenden. Gerade in einem Beschäftigungsverhältnis sollte zum Schutz der 

Vertrauensbeziehung auf nicht erforderliche Untersuchungen verzichtet werden. 

§ 32d Abs. 3 

23

24 

§ 32d Abs. 3 legalisiert Maßnahmen zur Compliancekontrolle und 

Korruptionsbekämpfung. Die Regelung ist datenschutzrechtlich nicht akzeptabel. 

Sie verstößt gegen das Prinzip der Datensparsamkeit und Datenvermeidung, gegen 

den Erforderlichkeitsgrundsatz und ist zudem unverhältnismäßig. Das Regelungsziel 

des derzeit gültigen § 32 Abs. 1 S. 2 BDSG wird in sein Gegenteil verkehrt. Es gibt 

bisher keine Hinweise, dass "Rasterfahndungen" eine wirksame Methode zur 

Compliancekontrolle sein können. Deren Einsatz bei der Deutschen Bahn AG 

brachte keine sinnvollen Erkenntnisse. Die geplante Regel dient der 

Beweiserforschung und nicht der Beweiserhebung. Arbeitgeber dürften danach ohne 

konkreten Verdacht und ohne Anlass Beschäftigtendaten in pseudonymer oder 

anonymer Form automatisiert erheben, verarbeiten und nutzen. Die Beschäftigten 

würden jeweils einem Generalverdacht ausgesetzt. Die Regelung ist nicht mit dem 

Recht auf informationelle Selbstbestimmung und dem durch das 

Bundesverfassungsgericht und dem Bundesarbeitsgericht anerkannten Schutz vor 

einer Vollüberwachung vereinbar (BVerfG, Urt. v. 15.12.1983, 1 BvR 209/83 u.a., Ziff 

148, BAG, Beschl. v. 26.08.2008, 1 ABR 16/07, Ziff. 15). 

Der Absatz hat zudem gravierende Regelungsschwächen. Gemäß § 3 Abs. 6 sind 

Daten nur anonym, wenn sie einer Person nicht mehr oder nur unter 

unverhältnismäßig hohem Aufwand zugeordnet werden können. Daher ist eine 

Personalisierung anonymisierter Daten schon begriffslogisch nicht möglich. Der 

Entwurf berücksichtigt nicht den Umstand, dass nach der aktuellen Rechtsprechung 

der Arbeitsgerichte Fälle des Diebstahls oder der Unterschlagung von geringwertigen 

Sachen als schwerwiegende Pflichtverletzungen angesehen werden. 

Rasterfahndungen mit Beschäftigtendaten wären damit voraussetzungslos möglich. 

Die bei der Deutschen Bahn AG im Jahr 2009 bekannt gewordenen 

Datenschutzverstöße, die in der Öffentlichkeit zu berechtigter Empörung und 

rechtlich zu einer massiven Ahndung führten, ließen sich über die geplante Regelung 

rechtfertigen. 

§ 32d Abs. 3 Satz 1 sollte die Straftatbestände, deren Verwirklichung durch die 

Maßnahmen der Datenrasterung aufgedeckt oder verhindert werden sollen, so 

konkret wie möglich und nicht nur beispielhaft nennen. Durch eine Bagatell- bzw. 

Relevanzschwelle ist eine unverhältnismäßige Verarbeitung von Daten für die 

Bekämpfung minimaler und irrelevanter Schäden zu vermeiden. 

Die automatisierte Verarbeitung von Beschäftigtendaten zur Einhaltung der 

Compliance kann nur aufgrund eines Stufensystems und streng zweckgebunden 

zugelassen werden. Ein dauerhaftes, systematisches und automatisiertes Auswerten 

personenbezogener Daten muss unzulässig bleiben. Gefordert werden muss in 

jedem Fall ein konkreter Anlass oder eine konkrete Kontrollnotwendigkeit. Der erste 

Schritt einer automatisierten Kontrolle darf nur mit gruppenbezogenen Daten 

erfolgen. Ergibt sich ein erster Verdacht, ist die Gruppe der in Betracht kommenden 

Täter in Hinblick auf den Vorwurf einzugrenzen. Eine systematische Überwachung 

und Kontrolle dieser Gruppe erfolgt dann mit pseudonymen Daten. Konkretisiert oder 

bestätigt sich der Verdachtsfall, können die Daten personalisiert und bezogen auf 

konkrete Einzelpersonen ausgewertet werden. Diese Maßnahmen müssen 

ausnahmslos der Vorabkontrolle unterliegen. 

Zusätzlich sind Verfahrensgarantien für die personalisierte Auswertung von 

Beschäftigtendaten zu etablieren. Neben den bereits in Absatz 3 S. 3 und 4

genannten Bedingungen ist der Arbeitgeber zu verpflichten, die tatsächlichen 

Anhaltspunkte für den Verdacht zu dokumentieren. 

§ 32e Abs. 2 

Die verdeckte Erhebung von Beschäftigtendaten begegnet grundsätzlichen 

Bedenken. Die geplante Formulierung des § 32e erlaubt Maßnahmen zur Aufklärung 

von Straftaten und schwerwiegenden Pflichtverletzungen, die staatlichen 

Vollzugsorganen, die einer intensiveren Aufsicht unterliegen, aus 

verfassungsrechtlichen Gründen verwehrt bleiben. 

Die heimliche Verarbeitung personenbezogener Daten sollte nur dann zulässig sein, 

wenn Tatsachen den Verdacht einer Straftat begründen und der Verstoß eine 

gewisse Erheblichkeit aufweist. Bagatellfälle sind auszuschließen. 

§ 32e Abs. 2 kann wie folgt formuliert werden: 

„Der Arbeitgeber darf Beschäftigtendaten ohne Kenntnis des Beschäftigten nur 

erheben, wenn 

1. Tatsachen den dringenden Verdacht begründen, dass der Beschäftigte im 

Beschäftigungsverhältnis eine Straftat begangen und 

2. die Erhebung erforderlich ist, 

um die Straftat aufzudecken oder um damit im Zusammenhang stehende weitere 

Straftaten des Beschäftigten zu verhindern.“ 

§ 32e Abs. 4 

Die in § 32e Abs. 4 genannten Zeiträume für verdeckte 

Überwachungsmaßnahmen erscheinen willkürlich. Der zeitliche Umfang einer 

Überwachung muss sich am Zweck der Maßnahme orientieren. Die Zeitvorgaben 

müssen sich im Rahmen des Verhältnismäßigen bewegen. 

Nach der Begründung soll die Regelung eine heimliche Videoüberwachung 

verbieten (Begr. S. 19). Dies gibt aber der Wortlaut nicht her. 

§ 32e Abs. 5 

Der Verweis bei verdeckten Maßnahmen auf § 4d Abs. 5, der die Vorabkontrolle 

regelt, geht ins Leere, da diese Norm nicht anwendbar ist, wenn die Verarbeitung der 

Durchführung eines rechtsgeschäftlichen Schuldverhältnisses dient. Diese 

Ausnahme vom Erfordernis einer Vorabkontrolle ist im Arbeitsverhältnis regelmäßig 

gegeben. Statt des Verweises sollte daher eine die direkte Verpflichtung zur 

Vorabkontrolle vorgesehen werden, über die eine umfassende Beteiligung der oder 

des betrieblichen Datenschutzschutzbeauftragten gewährleistet werden sollte. 

Wünschenswert ist insofern auch eine Einbindung der betrieblichen 

Interessenvertretung der Arbeitnehmerschaft. 

§ 32e Abs. 7 

Das absolute Verbot der Datenverarbeitung, wenn der Kernbereich privater 

Lebensgestaltung betroffen ist, sollte eine verfassungsrechtliche 

Selbstverständlichkeit sein, die nicht nur im Arbeitsrecht gilt. Auf eine Regelung 

könnte u. E. verzichtet werden. Unklar ist aber im Regelungsfall, welche 

Informationen zu den Daten des Kernbereiches privater Lebensgestaltung gehören. 

25

26 

Das Erhebungsverbot muss sich auf sämtliche Informationen erstrecken, die nicht 

unmittelbar mit dem Beschäftigungsverhältnis und der aufzuklärenden Straftat im 

Zusammenhang stehen. 

§ 32f Abs. 1 

§ 32 f Abs. 1 regelt die Zwecke, zu denen eine Videoüberwachung zulässig ist. 

Diese Zwecke sind derart weit und unbestimmt formuliert, dass Arbeitgeber jederzeit 

und an jedem Ort eine offene Videoüberwachung rechtfertigen können. Daher bedarf 

es einer Konkretisierung der Überwachungszwecke. Das angebliche vollständige 

Verbot heimlicher Videoüberwachung (s.o.) ist aus Datenschutzsicht kein Gewinn, 

wenn, wie geplant, eine Totalüberwachung offen erlaubt wird. 

Die Weite der Erhebungszwecke hat zur Folge, dass eine mehrfache 

Rechtfertigung einer Videoüberwachung möglich wird. Eine Abgrenzung der 

unterschiedlichen Zwecke kann so nicht erfolgen. So ist z. B. der Unterschied 

zwischen der Zutrittskontrolle und der Wahrnehmung des Hausrechtes nicht klar. 

Völlig unbestimmt ist z. B. auch, was unter Qualitätskontrolle zu verstehen ist 

(Qualität des Arbeitsplatzes, der Arbeitsleistung, der erzeugten Produkte?). 

Es bedarf der gesetzlichen Klarstellung, dass eine Rundum- und 

Dauerüberwachung unzulässig ist. Entsprechend der bisherigen Rechtsprechung 

sollte eine dauerhafte Überwachung von Beschäftigtenarbeitsplätzen untersagt 

werden. 

§§ 32f Abs. 1 Nr. 4, 32g Abs. 1 S. 1 Nr. 1 

Anstelle des unbestimmten Zwecks der „Sicherheit des Beschäftigten“ sollte der 

arbeitsrechtlich etablierte Begriff der Arbeitssicherheit gewählt werden. 

§ 32h Abs. 1 

Die Erhebung und Verarbeitung biometrischer Daten kann einen tiefgreifenden 

Eingriff in Persönlichkeitsrechte darstellen. In diesem Absatz fehlt die Abwägung 

zwischen den berechtigten Interessen des Arbeitgebers und den schutzwürdigen 

Interessen der Arbeitnehmer. Nach der Formulierung könnte jeder Bedarf an 

Authentifikation oder Autorisierung eine Verarbeitung biometrischer Daten 

rechtfertigen. Daher sollten hier die überwiegenden sicherheitsrelevanten Gründe 

aufgezählt werden, für die die Nutzung biometrischer Daten erforderlich ist. Es sollte 

ein Verbot des Einsatzes derartiger Daten zur Leistungs- und Verhaltenskontrolle 

(z. B. Zeiterfassung) aufgenommen werden. 

§ 32i 

§ 32i Abs. 2 rechtfertigt Eingriffe in das verfassungsrechtlich geschützte 

Fernmeldegeheimnis. Diese Eingriffe sind auf die Anwendungsfälle zu 

beschränken, bei denen eine gesetzliche Aufzeichnungspflicht besteht oder die 

Telefonleistung wesentlicher Bestandteil des Vertrages zwischen dem Beschäftigten 

und dem Arbeitgeber und den Anrufern bzw. Angerufenen ist. Das regelmäßige 

Mithören und Aufzeichnen zu Zwecken der Qualitätskontrolle oder bei der Markt- und 

Meinungsforschung sollte ausdrücklich untersagt werden.

§ 32 Abs. 2 kann wie folgt formuliert werden: 

Inhalte einer ausschließlich zu beruflichen oder dienstlichen Zwecken erlaubten 

Nutzung von Telefondiensten darf der Arbeitgeber nur erheben, verarbeiten und 

nutzen, soweit 

1. die erbrachte telefonische Dienstleistung wesentlicher Inhalt der 

geschuldeten Arbeitsleistung ist oder 

2. gesetzliche Dokumentationspflichten auf Seiten der verantwortlichen Stelle 

eine Aufzeichnung der Inhalte erforderlich machen. 

Der Beschäftigte und seine Kommunikationspartner sind im Einzelfall vorher 

über die Aufzeichnung zu informieren und müssen in diese einwilligen.[…] 

In Abs. 4 wird der datenschutzrechtlich völlig neue Begriff der „privaten Daten“ 

verwendet, ohne dass erkennbar ist, was hierunter verstanden werden soll. Auch aus 

der Begründung ergibt sich nicht, ob hiermit die private Nutzung von 

Telekommunikationsanlagen des Arbeitgebers geregelt werden soll, was aus dem 

Kontext heraus zu vermuten ist. Hieraus würde folgen, dass die Speicherung und 

Auswertung von Daten aus der privaten Telekommunikation mit dem Argument der 

Wahrung „des ordnungsgemäßen Dienst- und Geschäftsbetriebes“ gerechtfertigt 

werden kann. Diese Eingriffe, die nicht einmal eine Abwägung mit den 

Schutzinteressen der Betroffenen vorsieht, sind im Hinblick auf Art. 10 GG viel zu 

weit und daher nicht akzeptabel. 

§ 32l 

Abs. 4, der vor einer Beschwerde bei einer Datenschutzbehörde eine Anzeige beim 

Arbeitgeber einfordert, verstößt gegen Europarecht und gegen nationales 

Verfassungsrecht. Art. 28 Abs. 4 der Europäischen Datenschutzrichtlinie (EU-DSRL) 

erlaubt ebenso wie Art. 17 Grundgesetz (GG) jeder Person, zum Schutz der diese 

Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener 

Daten sich an die Kontrollstelle mit einer Eingabe zu wenden. Dieses Petititonsrecht 

würde beschnitten, wenn vorab die Einhaltung des Dienstweges oder eine 

Befassung des Arbeitgebers verpflichtend wäre. 

Die aufsichtsbehördliche Praxis zeigt, dass Beschäftigte in hohem Maße ein 

Interesse daran haben, nicht gegenüber ihrem Arbeitgeber genannt zu werden. 

Häufig befürchten Petenten Sanktionen. Das Vertrauensverhältnis zwischen dem 

Arbeitgeber und Beschäftigten ist hier nicht schutzwürdig, da das Vertrauen des 

Beschäftigten, der meint, sich an die Aufsichtsbehörde wenden zu müssen, zumeist 

erschüttert ist. Aufgabe der Aufsichtsbehörde ist in dieser Situation, den Verstoß zu 

untersuchen, ihn abzustellen und dadurch das Vertrauen wieder herzustellen. 

Die Regelung demonstriert beispielhaft die Schieflage des gesamten 

Gesetzesentwurfes: Dem Arbeitgeber werden umfassende Eingriffsbefugnisse 

zugestanden, um sich gegen unredliche und unehrliche Beschäftigte zu schützen. 

Den Beschäftigten werden aber keine wirksamen Mittel an die Hand zu geben, 

Überwachungsmaßnahmen in Frage zustellen und unabhängig überprüfen zu 

lassen. 

§ 38 Abs. 1 Satz 7 BDSG gewährt jedermann das Recht, sich an die 

Aufsichtsbehörde wenden. Dem gegenüber hält der Absatz den Beschäftigte an, sich 

zunächst an den Arbeitgeber zu wenden. Die Regelung hätte zur Folge, dass eine 

nicht betroffene nahestehende Person das Recht hätte, direkt die Aufsichtsbehörde 

27

28 

anzurufen, nicht aber der Betroffene selbst. Vorzugswürdig ist, wenn überhaupt eine 

Regelung beabsichtigt ist, ein ausdrückliches Benachteiligungsverbot 

aufzunehmen: 

„Beschäftigte dürfen wegen einer Eingabe oder Anfrage bei einer Aufsichtsbehörde 

durch den Arbeitgeber nicht diskriminiert oder in sonstiger Weise benachteiligt 

werden.“ 

§ 32l sollte außerdem um die Festlegung eines Verwertungsverbotes ergänzt 

werden. Die aufsichtsbehördliche Praxis zeigt, dass unzulässige Datenerhebungen 

und -verarbeitungen genutzt werden, um arbeitsrechtliche Maßnahmen zu 

begründen. Vor den Arbeitsgerichten fallen Beweise, die unter Verstoß gegen 

datenschutzrechtliche Bestimmungen erlangt wurden, selten oder nie unter das 

Beweisverwertungsverbot. Daher ist ein neuer Absatz einzufügen: 

„Unzulässig erhobene oder verarbeitete Beschäftigtendaten dürfen für 

arbeitsrechtliche Maßnahmen und in arbeitsgerichtlichen Verfahren nicht verwertet 

werden.“

� 

� 

�� 

� 

�� 

� 

�� 

�� 

�� 

� 

�� 

� 

� 

� 

� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

29

30 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

o �� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

o �� 

�� 

�� 

o �� 

�� 

�� 

�� 

�� 

o �� 

�� 

o �� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

� 

�� 

�� 

� �� 

� ��

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

� 

� �� 

� �� 

� �� 

� �� 

31

32 

�� 

� 

�� 

�� 

�� 

� 

�� 

�� 

� 

� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

� 

�

�� 

� 

Gegen Gelegenheits-Lauscher kann man sich wehren 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

� 

gerrit_wiegand@ebay.com.txt geändert am 27.1.2008 

gerrit_wiegand@search.support.microsoft.com.txt geändert am 27.1.2008 

gerrit_wiegand@amazon.de.txt geändert am 27.1.2008 

� 

�� 

� 

�� 

�� 

33

34 

�� 

�� 

�� 

� 

�� 

�� 

�� 

� 

�� 

c:\Dokumente und Einstellungen\Benutzername\cookies\�� 

�� 

� 

�� 

�� 

��*cookie*�� 

�� 

� 

�� 

�� 

�� 

��notepad�� 

�� 

� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

� 

� 

� 

� 

� �� 

� ��

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

� 

�� 

� 

�� 

��c:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temporary 

Internet Files\�� 

� 

�� 

�� 

��*cache*�� 

*temporary* �� 

� 

�� 

�� 

� 

�� 

�� 

� 

� 

Spion wider Willen 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

� 

�� 

�� 

35

36 

��Start � Suchen � Datei/Ordner�� 

�� 

�� 

�� 

.log��.dat�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

� 

Schuldig! 

� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

� 

� 

�� 

� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

� 

� 

� 

� 

� 

� 

� 

� �� 

�� 

�� 

37

38 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

o �� 

�� 

�� 

�� 

o �� 

o �� 

o �� 

o �� 

o �� 

�� 

o �� 

�� 

�� 

o �� 

�� 

o �� 

�� 

o �� 

�� 

�� 

�� 

o �� 

�� 

o �� 

�� o �� 

�� 

o �� 

o �� 

o �� 

o �� 

o �� 

o �� 

o �� 

�� 

�� 

o �� 

�� 

�� 

o �� 

�� o �� 

o �� 

o �� 

o �� 

o �� 

o �� 

o �� 

o �� 

�� 

o �� 

o �� 

o �� 

o �� 

�� 

o �� 

�� 

��

o �� 

o �� 

o �� 

o �� 

�� 

o �� 

�� 

o �� 

� 

� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

��.log��dat�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

39

40 

�� 

�� 

��.gif, .jpg, .png��.tif�� 

�� 

�� 

�

41 

�� 

� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

o �� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

o �� 

�� 

�� 

�� 

�� 

o �� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�

42 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

� 

� 

Kein Kraut gewachsen 

� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

o �� 

�� 

o �� 

�� 

o �� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�

Der Spion im Server 

� 

�� 

�� 

� 

o �� 

�� 

o �� 

�� 

�� 

o �� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

43

44 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

o �� 

o �� 

�� 

o �� 

�� 

�� 

�� 

o �� 

�� 

o �� 

�� 

�� 

�� 

�� 

o �� 

�� 

�� 

o �� 

o �� 

�� 

o �� 

�� 

o �� 

�� 

�� 

o �� 

�� 

�� 

�� 

o �� 

o �� 

�� 

�� 

�� 

��

45 

�� 

�� 

�� 

�� 

�� 

� 

� 

�� 

� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

o �� 

�� 

�� 

o �� 

�� 

o �� 

�� 

�� 

�� 

� 

�� 

� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

� 

�

46 

�� 

o �� 

�� 

�� 

�� 

�� 

�� 

�� 

o �� 

�� 

�� 

�� 

o �� 

�� 

�� 

�� 

o �� 

�� 

�� 

o �� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

http://www.pgpI.org/�� 

� 

� 

� 

� 

�

47 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

��

48 

�� 

�� 

�� 

� 

��www.htthost.com�� 

�� 

�� 

�� 

� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

��

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

� 

� 

� 

� 

� 

� 

� 

49

50 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

http://anon.inf.tu-dresden.de�� 

�� 

�� 

� 

�� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

� 

� 

� 

� 

� 

� 

� 

� 

�

MARIE-THERES TINNEFELD / THOMAS PETRI / STEFAN BRINK 

Aktuelle Fragen um ein 

Beschäftigtendatenschutzgesetz Datenschutzrecht 

Eine erste Analyse und Bewertung 

Der jüngst vorgelegte Gesetzentwurf der Bundesregierung 

zum Beschäftigtendatenschutz verdient eine eingehende 

Analyse: Auf der Basis verfassungsrechtlicher Vorüberlegun- 

I. Einleitung 

Die Entwicklung des Rechts lebt von konkreten Anstößen. So 

hat der Datenschutz in der zweiten Hälfte des vergangenen 

Jahrhunderts von der Angst vor dem Aufkommen des Computers 

und der Allgegenwart personbezogener Daten profitiert. 

Jeder kennt das Problem des „gläsernen Bürgers“, das George 

Orwell in seinem Roman „1984“ als Menetekel beschwor. Derselbe 

Autor forderte bereits 1946 in einer Artikelserie für die 

„Manchester Evening News“ Aufklärung über die sich abzeichnende 

Überwachung mit technischen Mitteln: „Die ganze Welt 

bewegt sich heute einer strikt kontrollierten Gesellschaftsform 

entgegen, in der die Freiheit aufgehoben, die soziale Gleichheit 

hingegen keineswegs verwirklicht wird. So wollen es die Massen, 

denen eben Sicherheit über alles geht.“ Ziel sei es, so Orwell, 

einen Bewusstseinsstatus zu schaffen, in dem der aufgeklärte 

Mensch dies erkenne. 

Freiheitsgefahren, die jünger sind als das GG, die elektronische 

Datenverarbeitung oder die zunehmende (unsichtbare) Vernetzung 

im Internet, haben das BVerfG veranlasst, den grundrechtlich 

fundierten Freiheitsschutz fortzuschreiben. Es hat aus dem 

allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 und Art. 1 Abs. 1 

GG) zwei neue Grundrechte abgeleitet: 

das „Grundrecht auf Datenschutz“ – Recht auf informationelle 

Selbstbestimmung – Recht auf Privatheit (1983) im Kontext 

der automatisierten Datenverarbeitung; 1 

das „IT-Grundrecht“ – Recht auf Gewährleistung der Vertraulichkeit 

und Integrität informationstechnischer Systeme 

(2008) im Kontext verdeckter Zugriffe auf informationstechnische 

Systeme. Das neue Grundrecht bezieht sich auf den Schutz 

der Privatheit. Es betrifft IT-Systeme, die der Einzelne, also auch 

der Beschäftigte, als eigene allein oder zusammen mit anderen 

nutzt. 2 

1 BVerfGE 65, 1 ff. – Volkszählungsurteil. 

2 BVerfG MMR 2008, 315 – Online-Durchsuchung. 

3 Vgl. Regierungsentwurf unter: http://www.bmi.bund.de/cln_156/SharedDoca/ 

Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_Beschaeftigtendatenschutz.html 

?nn=109628. 

4 Dazu und zu vorangegangenen Referentenentwürfen vgl. die Synopse im 

MMR-Forum zum Beschäftigtendatenschutz von Hanloser, abrufbar unter: http:// 

community.beck.de/gruppen/mmr-forum-zum-beschaeftigtendatenschutz. 

5 Vgl. BVerfGE 65, 1, 43. 

6 Das folgt bereits aus der grundrechtlichen Befugnis des Betroffenen, selbst zu 

entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte 

offenbart werden, vgl. BVerfGE 65, 1, 42; bestätigend BVerfG MMR 2008, 315. 

7 Vgl. BVerfG NJW 2010, 833, 839, Rdnr. 218 = MMR 2010, 356; BVerfG MMR 

2008, 315 unter Verweis auf BVerfGE 65, 1, 42. 

8 Vgl. BVerfGE 65, 1, 44. 

9 Vgl. BVerfGE 65, 1, 45. 

10 Vgl. z.B. BVerfG MMR 2004, 302. 

11 Vgl. BVerfGE 65, 1, 46. 

gen wird der lang erwartete und nun intensiv diskutierte Gesetzentwurf 

einer ersten Prüfung und vorsichtigen Bewertung 

unterzogen. 

Das Gericht hat mit Anerkennung dieser Grundrechte keineswegs 

nur den öffentlichen Bereich angesprochen. Die Tragweite 

seiner Aussage, die rechtlichen Grundsätze für den Persönlichkeitsschutz 

gelten auch für die alltägliche Praxis im Beschäftigtenverhältnis. 

In der politischen Diskussion wird der Begriff des Beschäftigtendatenschutzes 

oft synonym mit dem Begriff des Arbeitnehmerdatenschutzes 

verwandt. Aus datenschutzrechtlicher Sicht ist der 

Begriff „Beschäftigtendatenschutz“ jedoch weiter zu verstehen, 

weil er Beschäftigte und Bewerber in der Privatwirtschaft und im 

öffentlichen Dienst umfasst (vgl. § 3 Abs. 11 BDSG). Vor dem 

Hintergrund allseits bekannter Überwachungsskandale hat der 

Bundesgesetzgeber in der 16. Legislaturperiode die langjährige 

Forderung nach der Regelung des Beschäftigtendatenschutzes 

aufgegriffen und in einem ersten Schritt § 32 BDSG verabschiedet. 

Das Bundeskabinett hat am 25.8.2010 einen Regierungsentwurf3 

angenommen, wonach diese Vorschrift durch eine 

Reihe von Spezialnormen (§§ 32–32l BDSG) ersetzt werden 

soll. 4 

Im Folgenden werden zunächst grundrechtlich gebotene 

Maßstäbe des allgemeinen Persönlichkeitsrechts mit Blick auf 

den Beschäftigtendatenschutz dargelegt. 

II. Grundrechtliche Prinzipien 

Das „Grundrecht auf Datenschutz“ umfasst die Befugnis des 

Einzelnen, grundsätzlich selbst zu entscheiden, wann und inner- 

halb welcher Grenzen er persönliche Lebenssachverhalte offenbaren 

will. 5 Es hält dem Einzelnen Bereiche der Privatheit und Intimität 

unter dem Aspekt neuer Technologien frei (z.B. der Videoüberwachung 

sanitärer Räume). Es gelten insbesondere folgende 

Grundsätze: 

Eine Datenerhebung hat grundsätzlich unmittelbar bei dem 

Betroffenen/Beschäftigten zu erfolgen. 6 

Unabdingbar ist das Verbot einer Totalerhebung und umfassender 

Rasterfahndungen, weil und soweit auf diesem Wege 

umfassende Persönlichkeitsbilder der jeweils betroffenen Personen/Beschäftigten 

erstellt werden können. 7 

Geboten ist die Reduzierung von Datenerhebungen auf ein 

Mindestmaß. Nur was für die Erfüllung der Aufgaben einer bestimmten 

rechtmäßigen Institution/Dienstherr oder Arbeitgeber 

für die Erfüllung der Aufgaben erforderlich ist, ist auch datenschutzrechtlich 

zulässig (Erforderlichkeitsprinzip). 8 

Daten dürfen nur zu bestimmten, legitimen Zwecken verwendet 

werden (Gebot der Zweckbindung). 9 

Der Kernbereich der privaten Lebensgestaltung einer Person 

ist strikt zu wahren. 10 Unzumutbare intime Angaben über Beschäftigte 

oder gar Selbstbezichtigungen dürfen nicht erhoben 

werden. 11 

Der Umgang mit personenbezogenen Daten hat regelmäßig 

offen zu erfolgen (Transparenzgebot). In diesem Zusammen- 

BEITRÄGE 

51

hang genießen Kontrollrechte (auf Auskunft, Akteneinsicht und 

Benachrichtigung) 12 sowie Korrekturrechte des Beschäftigten 

(auf Berichtigung, Sperrung oder Löschung) 13 einen grundrechtlichen 

Rang. 

Wegen der für die Beschäftigten oft undurchsichtigen Datenverarbeitungsprozesse 

ist es für ihren effektiven Persönlichkeitsschutz 

weiterhin von erheblicher Bedeutung, dass sie den „vorgezogenen 

Rechtsschutz“ bei rechtlich unabhängigen Datenschutzinstanzen 

in Anspruch nehmen können. 14 

Diese Grundrechtsgarantien werden durch das IT-Grundrecht 

erweitert, das vor heimlichen Zugriffen auf IT-Systeme schützt, 

die der Beschäftigte als eigene Systeme nutzt und nutzen darf; 15 

dabei geht es nicht nur um die Vertraulichkeit abgespeicherter 

Daten, sondern auch um den Schutz der Steuerbarkeit von Ver- 

arbeitungsprozessen als solchen. 16 

52 

Wie andere Grundrechte 

auch kann das Persönlichkeitsrecht nach Maßgabe der Verhältnisse 

eingeschränkt werden. Dabei sind etwaige grundrechtliche 

Belange des Arbeitgebers zu berücksichtigen. Zu nennen 

sind z.B. die wirtschaftliche Handlungsfreiheit aus Art. 2 Abs. 1 

GG, die Berufsfreiheit aus Art. 12 Abs. 1 GG und die Garantie 

des Eigentums aus Art. 14 Abs. 1 GG; ggf. ist i.R.d. sog. mittelbaren 

Drittwirkung eine Abwägung der widerstreitenden 

Schutzgüter vorzunehmen. Doch auch bei wichtigen Belangen 

des Arbeitgebers, die etwa unter das Stichwort „Compliance“ 

zu subsumieren sind, muss die Abwägung die vorgenannten 

Grundprinzipien des Datenschutzes zu Gunsten der Beschäftigten 

angemessen berücksichtigen. 17 

III. Reformbedarf 

„Beschäftigtendatenschutz“ 

Die Bespitzelungen von Arbeitnehmern bei diversen bekannten 

großen Unternehmen18 erwecken den Eindruck, dass der Arbeitnehmer 

vielfach „mehr als Risikopartner, denn als Partner 

wahrgenommen wird.“ 19 Zahlreiche Überwachungsskandale 

im Zusammenhang mit dem Beschäftigtendatenschutz wurden 

durch sog. „Whistleblower“ aufgedeckt. 20 Dabei handelt es sich 

in der Regel um Beschäftigte, die entweder intern vergeblich 

nach Abhilfe gesucht oder extern die Skandale an die Öffentlichkeit 

gebracht haben. Viele Datenskandale wären ohne Whistleblower 

nicht öffentlich geworden. Erinnert sei an das Beispiel 

der Deutschen Bahn AG, 21 die (mit äußerst dürftigen Erfolgen 

für die Compliance) heimlich und nahezu flächendeckend die 

Kontonummern ihrer Beschäftigten mit den Kontoverbindungsdaten 

ihrer Zulieferer abgeglichen hatte. Bei der Deutschen 

Bank soll die elektronische Kommunikation zwischen Aufsichtsratsmitglied, 

aber auch einer Vielzahl von Beschäftigen und 

einem Dritten ausgewertet worden sein, um Kontakte zu Abgeordneten, 

Ärzten und anderen Geheimnisträgern (vgl. § 203 

StGB), zu Massenmedien und ihren Mitarbeitern, zu politischen 

Parteien und Gewerkschaften zu ermitteln. 22 So sollen diverse 

Stellen vor der Einstellung von Beschäftigten flächendeckend und 

obligatorisch Drogen- bzw. Bluttests vorgenommen haben. 23 

Zahlreiche dieser Datenerhebungen erfolgten im Zusammenhang 

mit der Umsetzung von Compliance, über die das BDSG 

bislang keine näheren Aussagen macht. Der Begriff Compliance 

wird häufig als die Gesamtheit der organisatorischen Maßnahmen 

verstanden, die erforderlich sind, damit sich ein Unternehmen 

im Ganzen rechtskonform verhält. Schutzgegenstand von 

Compliance ist also nicht nur die Einhaltung von zwingenden 

gesetzlichen Vorgaben. Es besteht Anlass genug, sich mit dem 

Verhältnis der berechtigten Anliegen von Compliance zum Datenschutz 

zu befassen und die Klärung durch gesetzliche Regelungen 

anzustoßen. 24 Entsprechendes gilt für die lähmende Unsicherheit, 

die durch die „wilde“ Überwachung am Arbeitsplatz 

entstanden ist, die durch normenklare gesetzliche Regelungen 

behoben werden muss. Das gilt umso mehr, als mangels klarer 

Regelungen im Arbeitsrecht bislang fast nur richterrechtlich entwickelte 

Datenschutzstandards gelten. Der Gesetzgeber ist 

zwar nicht gehalten, erprobtes Richterrecht gesetzlich zu fassen. 

Aber bislang gerichtlich gesichertes Schutzniveau im Interesse 

des Persönlichkeitsrechts der Beschäftigten sollte bei den 

neuen Spezialnormen in Betracht gezogen werden. 

IV. Stand der Regelungen 

Außerhalb des BDSG gibt es eine Vielzahl von Gesetzen und 

Rechtsverordnungen, die den Umgang von Arbeitgebern25 mit 

personenbezogenen Beschäftigtendaten26 regeln. 27 Sie werden 

durch eine Regelung des Beschäftigtendatenschutzes im BDSG 

nicht ersetzt; sie würden andernfalls aus ihrem bereichsspezifischen 

Sachzusammenhang gerissen. Insoweit bleibt es bei § 1 

Abs. 3 BDSG, wonach dieses Gesetz bereichsspezifische Sonderregelungen 

zum Umgang mit personenbezogenen Daten unberührt 

lässt. 

1. Vorgaben im (noch) gültigen § 32 BDSG 

Als einen ersten Schritt zur Regelung des Beschäftigtendatenschutzes 

hat der Gesetzgeber der 16. Legislaturperiode § 32 

BDSG als grundsätzlich abschließende Regelung für den Umgang 

mit Beschäftigtendaten in das BDSG eingefügt. Die Regelung 

in § 32 Abs. 1 Satz 1 BDSG tritt für Beschäftigungsverhältnisse 

an die Stelle des § 28 Abs. 1 Nr. 1 BDSG. Die Regelungen in 

den drei Absätzen des § 32 BDSG sind in der Literatur vielfach 

und mit unterschiedlichen Ergebnissen analysiert worden. 28 Angesichts 

dessen sollen die Kritikpunkte an dieser Stelle nicht vertieft 

werden. Im Folgenden wird vielmehr der Versuch unternommen, 

Fragen um die neueren Bemühungen zur Weiterentwicklung 

des Beschäftigtendatenschutzes im BDSG zu untersuchen. 

12 Vgl. BVerfGE 65, 1, 46. 

13 Vgl. BVerfGE 65, 1, 46. 

14 Vgl. BVerfGE 65, 1, 46. 

15 Zu dem Problem, inwieweit Beschäftigte IT-Systeme des Arbeitgebers als eigene 

nutzen, vgl. BVerfG MMR 2008, 315, sowie anhand eines Fallbeispiels Petri, in: 

Kartmann/Ronellenfitsch (Hrsg.), Vorgaben des Bundesverfassungsgerichts für eine 

zeitgemäße Datenschutzkultur in Deutschland, 2009, S. 55 ff. 

16 Vgl. BVerfG MMR 2008, 315. 

17 Vgl. dazu z.B. Petri, Compliance und Datenschutz, in: Schweighofer et al. 

(Hrsg.), Globale Sicherheit und proaktiver Staat, 2010, S. 305 ff. 

18 Die Presse berichtet in Einzelfällen auch über öffentliche Stellen, die in der Vergangenheit 

Datenschutzverstöße im Beschäftigtendatenschutz begangen haben 

sollen, wobei das Ausmaß deutlich geringer auszufallen scheint; vgl. z.B. Nürnberger 

Zeitung v. 21.7.2009, Fürther Schulamt im Visier der Datenschützer. 

19 Blickpunkt Bundestag Spezial, Datenschutz im Informationszeitalter, Oktober 

2008, S. 5. 

20 Tinnefeld/Rauhofer, DuD 2008, 717 ff. m.w.Nw. 

21 Vgl. BlnBDI JB 2010, Kap. 10.1: „Deutsche Bahn stellt Weichen für besseren Arbeitnehmerdatenschutz. 

Danach wurden in den Jahren 2002 bis 2005 die Ergebnisse 

der anlasslosen Abgleiche gespeichert.“ 

22 Vgl. z.B. Spiegel 23/2008, S. 20 ff. 

23 Vgl. nordbayern.de v. 5.11.2009, Urinproben bei der N-Ergie, Bluttests bei 

Daimler. 

24 Vgl. Koalitionsvertrag zwischen CDU, CSU und FDP der 17. Legislaturperiode, 

„Wachstum. Bildung. Zusammenhalt“, S. 106, 132 unter „Arbeitnehmerdatenschutz“. 

25 Zum Begriff Arbeitgeber vgl. § 3 Abs. 13 BDSG-E. 

26 Zum Begriff Beschäftigtendaten vgl. § 3 Abs. 12 BDSG-E, zum Begriff des Beschäftigten 

vgl. den bereits geltenden § 3 Abs.11 BDSG. 

27 Solche Verarbeitungsregeln enthalten z.B.: AEntG, AFBG, AGG, AktG, AltZG, AO, 

ArbMedV, ArbSchG, ArbSiG, ArbZG, AÜG, AufenthG, AWG, BbiG, BetrVG, BGB, 

BildscharbV, BKV, DEÜV, EntgFG, EStG, FeV, FreizügG/EU, GenG, GenDG, GewO, 

GGBefG, GefStoffV, HeimarbeitsG, HGB, IfSG, JArbSchG, KUrhG, LadSchlG, Luft- 

SiG, SGB 2–7, 9–10, SÜG, StGB, StPO, StVG, TKG, TMG, UrhG, VVG, ZPO. 

28 Vgl. statt vieler aus jüngster Zeit: Albrecht/Maisch, DSB 3/2010, S. 11 ff.; Behling, 

BB 2010, 892 ff.; Beisenherz/Tinnefeld, DuD 2010, 221 ff.; Forst, RDV 2010, 

8ff.;Kamp/Körffer, RDV 2010, 72 ff.; Kramer, DSB 5/2010, 14 ff.; Salvenmoser/ 

Hauschka, NJW 2010, 331 ff.; vgl. auch die Beiträge von Däubler, GläserneBelegschaften, 

5. Aufl., Rdnr. 183; Gola/Wronka, Hdb. zum Arbeitnehmerdatenschutz, 

5. Aufl., Rdnr. 847 ff.; Gola, Datenschutz und Multimedia am Arbeitsplatz, 3. Aufl., 

Rdnr. 137 ff.

2. Allgemeine und kritische Einzelaspekte im 

BDSG-E 

Der Gesetzgeber strebt mit dem Gesetz zum Beschäftigtendatenschutz 

vor allem Rechtssicherheit für alle Beteiligten an. 29 Sie 

kann nur dann gefunden werden, wenn 

normenklare, systematisch nachvollziehbare Regelungen getroffen 

werden, die grundsätzlich zu keinen Abgrenzungsproblemen 

führen (z.B. bei Massendatenabgleichen oder bei der Videoüberwachung); 

Maßnahmen des Arbeitgebers/Dienstherrn dem Gebot der 

Erforderlichkeit unterworfen werden. Die Erforderlichkeit verweist 

auf Strukturen und Zusammenhänge, die regelmäßig empirischer 

Natur sind. Sie bringt rechtsrelevante Tatsachen (z.B. 

Korruption oder Betrug) und die rechtliche Beurteilung dieser 

Tatsachen (datenschutzrechtlich, strafrechtlich usw.) in einen 

nachvollziehbaren Zusammenhang. 

a) § 4 Abs. 1 Satz 2, § 32l Abs. 1, 5 BDSG-E: 

Erlaubnisnormen i.S.d. BDSG 

Der Entwurf sieht die Ergänzung des § 4 Abs. 1 durch einen weiteren 

Satz ausdrücklich vor, wonach andere Rechtsvorschriften 

i.S.d. Gesetzes auch Betriebs- oder Dienstvereinbarungen sein 

können. 30 

Als Teilkodifikation des Arbeits- und Dienstrechts 

können sie eigenständig betriebliche bzw. dienstliche Sachverhalte 

wie Fragen der Verhaltens- und Leistungskontrolle, der 

Eignungstests und Auswahlrichtlinien oder bei Einführung der 

digitalen Personalakte regeln. Solche Regelungen sind allerdings 

nur dann zulässig, wenn und soweit sie mit höherrangigem 

Recht vereinbar sind. 31 Insbesondere müssen sie 

den gebotenen Grundrechtsstandard beachten (z.B. nur 

i.R.d. Erforderlichen in das Recht auf informationelle Selbstbestimmung/Recht 

auf Privatheit eingreifen) und 

vorrangiges EU-Recht (z.B. Normen der Datenschutzrichtlinie 

95/46/EG) wahren. 32 

Nach § 32l Abs. 5 BDSG darf von den Vorschriften der §§ 32– 

32l allerdings nicht zu Ungunsten der Beschäftigten abgewichen 

werden. Im Grundsatz ist diese Regelung zu begrüßen, 

auch wenn hierdurch in Einzelfällen betriebsnahe, sachgerechte 

Lösungen ausgeschlossen werden. 

Im Zusammenhang mit § 4 Abs. 1 BDSG muss § 32l Abs. 1 eigens 

betrachtet werden. Danach ist der Umgang mit personenbezogenen 

Daten auf Grundlage einer Einwilligung nur zulässig, 

wenn der Abschnitt über den Beschäftigtendatenschutz 

dies ausdrücklich vorsieht. 33 

Die Einwilligung als Rechtsgrundlage für den Umgang mit Beschäftigtendaten 

ist im bisherigen Arbeits- und Dienstrecht zu 

Recht umstritten. 34 Nach § 4a Abs. 1 Satz 1 BDSG muss die Einwilligung 

„auf der freien Entscheidung“ des Betroffenen beruhen. 

Indes: Die unterschiedliche Macht der Vertragspartner und 

die Angewiesenheit insbesondere des Arbeitnehmers auf den 

Erhalt seines Arbeitsplatzes lassen erhebliche Zweifel an der gebotenen 

Freiwilligkeit entstehen. 35 Die Einschränkung der Einwilligung 

ist auch nach den vorrangigen Regeln der allgemeinen 

EG-Datenschutzrichtlinie 95/46/EG möglich. Nach Art. 7 lit. a 

kann die Datenverarbeitung durch eine eindeutige Einwilligung 

erlaubt werden, muss es aber nicht. 

Grundsätzlich bleibt festzuhalten, dass die Einwilligung nach 

gegenwärtiger Rechtslage in den meisten Fällen bereits mangels 

Freiwilligkeit offenkundig ausscheiden wird. Das gilt eingeschränkt 

für Beamte, Richter und Berufssoldaten, die sich auf 

Grund der Stabilität ihres Dienstverhältnisses in mehrfacher Hinsicht 

von Arbeitnehmern in der Privatwirtschaft deutlich unterscheiden. 

Vor diesem Hintergrund verfolgt § 32l Abs. 1 einen 

begrüßenswerten Ansatz, weil er die Zulässigkeit der Einwilligung 

eindeutig regelt. Allerdings schießt die Vorschrift über das 

Ziel hinaus. In wissenschaftlichen Einrichtungen präsentieren 

z.B. Forscher häufig auf der Homepage ihrer Institution ihre Arbeiten, 

um im Wissenschaftsbetrieb ihre Kontakte ausbauen zu 

können. Warum soll hier eine Einwilligung als Rechtsgrundlage 

ausscheiden, wenn die legitimierte Datenverarbeitung ausschließlich 

Zwecken dient, die für den Beschäftigten günstig 

sind? 

b) § 27 Abs. 3 BDSG-E: Verzicht auf Dateierfordernis 

§ 27 Abs. 3 bildet inhaltlich die noch geltende Vorschrift § 32 

Abs. 2 BDSG ab. Damit wird der Beschäftigtendatenschutz 

technologieneutral geregelt. In der „digitalen“ Welt ist der Einsatz 

von EDV-Anlagen Standard und in irgendeiner Phase der 

Datenverarbeitung immer zu erwarten. Der sonstige nichtautomatisierte 

Umgang mit personenbezogenen Daten (der berühmte 

„Merkzettel“) wird heute bereits in der Praxis der Aufsichtsbehörden 

regelmäßig übergangen. Aus dem Umstand, 

dass die EU-Datenschutzrichtlinie Vorgaben nur für automatisiert 

oder in aus Dateien verarbeiteten Daten macht, folgt kein 

Verbot an den nationalen Gesetzgeber, weitergehende Regelungen 

zu erlassen (vgl. Erwägung 10, Art. 3 der RL). 

V. Übersicht der einzelnen Bestimmungen 

im BDSG-E 

1. Datenerhebung vor Begründung des 

Beschäftigtenverhältnisses nach § 32 BDSG-E 

Die geplante Neuregelung befasst sich mit den konkreten Zwe- 

29 Vgl. BR-Drs. 535/10, S. 1 f. 

30 Vgl. BR-Drs. 535/10, S. 2. 

31 Vgl. z.B. Brandt, DuD 2010, 213 ff. 

32 So ist wohl auch Gola (o. Fußn. 28), Rdnr. 349-351 zu verstehen, wonach es den cken, zu denen Bewerberdaten erhoben werden dürfen. Bereits 

Betriebsparteien im Ergebnis (nur?) zustehe, den Beschäftigten „mehr“ an Daten- der Entwurf des BDatG 

schutz zu gewähren, als es der Gesetzgeber vorgesehen habe. 

33 Ähnlich bereits § 4 Abs. 1 des Entwurfs eines Beschäftigtendatenschutzgesetzes 

– BDatG-E, BT-Drs. 17/69, der von der SPD-Fraktion in den Bundestag eingebracht 

wurde. 

34 Vgl. dazu bereits Wohlgemuth, Datenschutz für Arbeitnehmer, 1988, 

Rdnr. 120 ff., sowie Buchner, in: FS für H. Buchner, 2009, S. 159 ff.; Däubler, in: 

DKWW, BDSG, § 4a Rdnr. 20 ff., insb. Rdnr. 23; Gola (o. Fußn. 28), Rdnr. 324 ff. 

35 Zur Einwilligungsfrage beim Massenscreening Brink/Schmidt, MMR 2010, 

592 ff., 593. 

36 hatte versucht, die anhand von Einzelfallentscheidungen 

entwickelte, umfangreiche arbeitsgerichtliche 

Rechtsprechung 

36 Vgl. BT-Drs. 17/69. 

37 in § 6 Abs. 2 und Abs. 3 zusammenzufassen. 

Ganz ähnlich wie § 6 Abs. 2 BDatG-E sieht der vorliegende § 32 

in Abs. 1 den Grundsatz der Erforderlichkeit vor, wonach insbesondere 

Daten über die fachlichen und persönlichen Fähigkei- 

37 Vgl. z.B. BAG NJW 2006, 252 ff. u. NJW 1999, 3653 ff. (Vorstrafen); BAG EzA 

§ 123 BGB 2002 Nr. 5 und RDV 2003, 86 f. (Stasi-Tätigkeit); BAG BB 2003, 1734 ff. 

ten, Kenntnisse und Erfahrungen sowie über die Ausbildung 

und den bisherigen beruflichen Werdegang des Beschäftigten 

erhoben werden dürfen. Der nach bisherigem Recht ohnehin 

(Schwangerschaft); NJW 2001, 1885 ff. (Schwerbehinderteneigenschaft). 

geltende Grundsatz der Direkterhebung beim Betroffenen38 38 Vgl. § 4 Abs. 2 BDSG. 

39 Das BDSG kennt bislang nur das Tatbestandsmerkmal des „unverhältnismäßigen 

Aufwands“ als Begrenzung datenschutzrechtlicher Verpflichtung verantwortlicher 

Stellen, vgl. z.B. § 3a, § 4 Abs. 2 Nr. 2b BDSG. Ähnlich sieht § 9 Satz 2 BDSG 

die Angemessenheit eines technischen und organisatorischen Aufwands vor. 

wird in § 32 Abs. 6 der Grundsatz der Verhältnismäßigkeit in 

Abs. 7 noch einmal betont. Mit der Einführung des Verhältnismäßigkeitsprinzips 

betritt der Entwurf Neuland. 39 Das Verhältnismäßigkeitsgebot 

ersetzt hier die bislang üblichen Vorausset- 

53

zungen der datenschutzrechtlichen Erforderlichkeit40 und der 

Interessenabwägung. Angesichts des regelmäßig anzutreffenden 

Über-/Unterordnungsverhältnisses von Arbeitgeber zu Arbeitnehmer 

ist dieser Paradigmenwechsel nachvollziehbar. 

Besonders gelagerte Fallgruppen werden in § 32 Abs. 2–5 geregelt: 

Diskriminierungsverdächtige Daten eines Beschäftigten (Rasse, 

ethnische Herkunft, Behinderung, sexuelle Identität, Gesundheit, 

Vermögensverhältnisse, Vorstrafen oder laufende Ermittlungsverfahren) 

dürfen nur unter den Voraussetzungen des 

Allgemeinen Gleichbehandlungsgesetzes (§ 8 Abs. 1) angesprochen 

werden. Unklar: Vermögensverhältnisse, Vorstrafen 

und laufende Ermittlungsverfahren werden vom AGG nicht erfasst. 

Die Frage nach der Anerkennung als Schwerbehinderter oder 

diesem Gleichgestellten (§ 68 SGB IX) war zwar nach alter 

Rechtsprechung zulässig. 41 Wenn die Eignung für den Arbeitsplatz 

dadurch nicht beeinträchtigt wird, darf sich der Arbeitgeber 

jedoch im Vorfeld des Beschäftigungsverhältnisses nicht dafür 

interessieren. In Umsetzung der RL 2000/78/EG leistet der 

Gesetzentwurf mit dem Verbot der Frage die notwendige Revision 

der BAG-Rechtsprechung. 

Konfessions- bzw. Weltanschauungsfragen dürfen in einem 

Bewerbungsverfahren dann angesprochen werden, wenn es 

um eine Beschäftigung bei einer entsprechenden Gemeinschaft 

oder ihr zugeordneten Einrichtung oder Vereinigung geht. Die 

Fragen müssen allerdings nach der Art der Tätigkeit erforderlich 

sein, z.B. Kindergärtnerin im katholischen Kindergarten ja, 

Hausmeister nein. 42 

Entsprechendes gilt für weitere Tendenzbetriebe wie Gewerkschaften 

oder Presseeinrichtungen, deren Tätigkeit unmittelbar 

und überwiegend politisch oder koalitionspolitisch ausgerichtet 

ist, oder Einrichtungen zum Zwecke der Berichterstattung 

oder Meinungsäußerung (Art. 5 Abs. 1 Satz 2 GG). 

Wenig erörtert wurde bislang die Frage, welche Daten der Arbeitgeber 

ohne besonderen Aufwand aus allgemein zugänglichen 

Informationen etwa über Suchmaschinen im Internet erlangen 

kann. Das neue Gesetz will in § 32 Abs. 6 Satz 2 solche 

Recherchen regelmäßig zulassen. Anderes soll nur bei überwiegendem 

schutzwürdigen Interesse des Beschäftigten gelten. Bei 

der Beurteilung, ob solche schutzwürdigen Belange berührt 

sind, kommt es weniger darauf an, wie leicht der Arbeitgeber 

solche Daten „allgemein zugänglich“ findet, sondern ob sie erkennbar 

rechtmäßig, gar mit Billigung des Betroffenen dort eingestellt 

wurden. Zu beachten ist die Vorgabe von Art. 8 Abs. 2 

lit. e) der Datenschutzrichtlinie 95/46/EG, wonach die Erhebung 

besonderer Arten personenbezogener Daten nur zulässig ist, 

wenn sie sich auf Daten bezieht, die die betroffene Person selbst 

offenkundig öffentlich gemacht hat. 43 Deshalb geht Kritik fehl, 

dass der Nachweis einer Datenerhebung aus allgemein zugänglichen 

Quellen nicht zu führen sei. Allerdings ist die Frage zu stellen, 

ob § 32 Abs. 6 nicht die Vorgabe des Art. 8 Abs.2 lit. e) der 

RL hätte klarer abbilden können. 

Personenbezogene Daten aus „sozialen Netzwerken“ 44 soll der 

Arbeitgeber nach § 32 Abs. 6 Satz 2 grundsätzlich nicht erheben 

dürfen, es sei denn, die dort veröffentlichten Daten dienen 

gerade zur Darstellung der beruflichen Qualifikation des betroffenen 

Bewerbers. 

Mit Einwilligung des Beschäftigten soll der Arbeitgeber nach 

§ 32 Abs. 6 Satz 3 zukünftig auch bei sonstigen45 Dritten personenbezogene 

Daten des Beschäftigten erheben dürfen und 

dem Beschäftigten auf Verlangen Auskunft über den Inhalt der 

erhobenen Daten erteilen. In keinem Fall dürfen dabei die bisher 

durch die Rechtsprechung gezogenen Grenzen des zulässigen 

Fragerechts verletzt werden. 46 Die Vorschrift erscheint sachge- 

54 

recht, weil sie die weithin übliche Praxis der Referenzen berücksichtigt. 

2. Ärztliche Untersuchungen und Eignungstests 

vor Begründung eines Beschäftigungsverhältnisses 

nach § 32a BDSG-E 

Nach § 32a Abs. 1 darf der Arbeitgeber den Gesundheitszustand 

des Bewerbers etwa durch einen Werksarzt überprüfen 

lassen, wenn die Erfüllung bestimmter gesundheitlicher Voraussetzungen 

für die in Aussicht genommene Arbeit von wesentlicher 

und entscheidender Bedeutung ist. 47 Maßgeblich ist dabei 

der Zeitpunkt der Arbeitsaufnahme. Der Arbeitgeber kann Angaben 

über eine etwaige Behinderung also nur noch tätigkeitsbezogen 

verlangen und ohne darauf abzustellen, ob es sich um 

eine „einfache“ oder eine „schwere“ Behinderung handelt. 48 

Damit sind generelle Untersuchungen des Blutbilds oder von 

Urinproben nach der geplanten Regelung jedenfalls unzulässig. 

Diese Anforderungen stehen im Einklang mit der jüngeren arbeitsgerichtlichen 

Rechtsprechung. 49 Für gendiagnostische Untersuchungen 

gelten die spezielleren Vorschriften des GenDG. 

Voraussetzung einer Einstellungsuntersuchung soll sein, dass 

der Beschäftigte in die Untersuchung nach Aufklärung über deren 

Art und Umfang sowie in die Weitergabe des Untersuchungsergebnisses 

an den Arbeitgeber eingewilligt hat. Der Beschäftigte 

hat den Anspruch auf Mitteilung des Untersuchungsergebnisses; 

der Arbeitgeber darf nur erfahren, ob der Beschäftigte 

nach dem Untersuchungsergebnis für die vorgesehenen 

Tätigkeiten geeignet ist. In die Offenbarung weiterer Angaben 

kann der Beschäftigte nicht einwilligen, vgl. § 32l Abs. 1. Hinsichtlich 

des Einwilligungserfordernisses nach § 32a Abs. 1 

Satz 2 stellt sich die Frage, ob die Einwilligung angesichts der 

Situation des Bewerbers sachgerecht ist. Will der Bewerber den 

angestrebten Arbeitsplatz erhalten, wird er regelmäßig keine 

andere Wahl haben, als in die Untersuchung einzuwilligen. Ähnliche 

Anforderungen werden nach Abs. 2 an Eignungstests etwa 

durch Psychologen gestellt, die für die Feststellung erforderlich 

sind, ob der Beschäftigte zum Zeitpunkt der Arbeitsaufnahme 

für die vorgesehenen Tätigkeiten geeignet ist. 

3. Datenverarbeitung und -nutzung vor 

Begründung des Beschäftigtenverhältnisses nach 

§ 32b BDSG-E 

Die geplante Neuregelung gibt eine Antwort auf die Frage, wie 

erhobene Daten vor Begründung eines Beschäftigungsverhältnisses 

und zu welchen Zwecken sie weiterverwendet werden 

dürfen. Hier gilt der Grundsatz, dass nur legal erhobene oder erhaltene 

Daten vom Arbeitgeber verwendet werden dürfen, die 

für diesen konkreten Zweck erforderlich sind. Falls die Bewerbung 

scheitert, müssen die Daten fristgemäß gelöscht werden. 

Der Beschäftigte soll allerdings auch in eine weitere Speicherung 

seiner Bewerbungsdaten einwilligen können, etwa um sich weitere 

Chancen auf einen (anderen) Arbeitsplatz beim Arbeitgeber 

erhalten zu können. Hier ist die Einwilligung sachgerecht. 

40 Dazu vgl. z.B. Sokol, in: Simitis, BDSG, § 13 Rdnr. 25 ff. 

41 Vgl. dazu BR-Drs. 353/10, S. 28 zu § 32 Abs. 3. 

42 Beachtlich ist in diesem Zusammenhang das am 23.9.2010 (Az. 425/03) ergangene 

Urteil des EGMR mit Hinweis auf das Erfordernis der Funktionsbezogenheit 

ungeachtet des Charakters eines kirchlichen Tendenzbetriebs. 

43 Die in Art. 8 Abs. 2 lit. e) genannte zweite Erlaubnis zur Datenverarbeitung 

scheidet hier aus, sie betrifft die sachgerechte Rechtsverteidigung. 

44 Dieser Begriff wird im Gesetzesentwurf nicht definiert. 

45 Nach der Gesetzesbegründung stellt die Erhebung aus allgemeinen zugänglichen 

Quellen häufig auch eine Datenerhebung bei Dritten dar, das soll das Tatbestandsmerkmal 

„sonstige Dritte“ verdeutlichen, vgl. BR-Drs. 353/10, S. 30. 

46 Das stellt die Begr. zu § 32 Abs. 6 klar, vgl. BR-Drs. 353/10, S. 30. 

47 Zu Blutuntersuchungen vor der Einstellung vgl. z.B. Forst, RDV 2010, 8 ff. 

48 Vgl. dazu und zum Folgenden auch Bayreuther, NZA 2010, 679 ff. 

49 Vgl. BAG NZA 2010, 383 ff.

4. Datenerhebung im Beschäftigungsverhältnis 

nach § 32c BDSG-E 

Die Überwachungsskandale in den vergangenen Jahren betrafen 

– wie bei der unzulässigen Beobachtung der Beschäftigten 

durch Videokameras – zumeist verdeckte Datenerhebungen, im 

Übrigen häufig die unzulässige Auswertung von Daten (z.B. von 

E-Mail-Verkehrsdaten). Die Neuregelung konkretisiert die Datenzwecke, 

für die der Arbeitgeber Daten zulässigerweise offen 

erheben kann (z.B. zur Erfüllung gesetzlicher Meldepflichten 

oder Zahlungspflichten gegenüber dem Beschäftigten oder zur 

Verhaltens- und Leistungskontrolle; im Kontext der Videoüberwachung 

vgl. die Spezialregelung in § 32f BDSG-E). Problematisch 

auch im laufenden Beschäftigungsverhältnis ist insbesondere 

die Forderung einer ärztlichen Untersuchung oder von 

Tests, um die (fortbestehende) Eignung des Beschäftigten zu 

überprüfen. 50 

Da es sich hier um besondere Arten personenbe- 

zogener Daten handelt, die speziell auch für einen missbräuchlichen 

Konkurrenzkampf oder zum Zwecke der „Abschiebung“ 

etwa wegen einer vorübergehenden schweren Krankheit oder 

wegen des Alters durch den Chef zu befürchten sind, müssen 

die Anforderungen präzise gestaltet werden. Vor einer Überprüfung 

müssen nach § 32c Abs. 3 

tatsächliche Anhaltspunkte vorliegen, die Zweifel an der fortdauernden 

Eignung des Beschäftigten begründen, oder 

muss ein Wechsel seiner Tätigkeit oder seines Arbeitsplatzes 

beabsichtigt sein. 

Zu einer Dokumentationspflicht der Anordnungsgründe konnte 

sich die Bundesregierung nicht durchringen, obwohl eine solche 

Verfahrensgestaltung gleichzeitig dem datenschutzrechtlichen 

Transparenzgebot dienen würde. Im Übrigen gelten die Bestimmungen 

des § 32 Abs. 2–6 weitgehend entsprechend. Warum 

§ 32c Abs. 4 gerade das Verhältnismäßigkeitsprinzip ausdrücklich 

statuiert, anstatt auf den identisch lautenden § 32 Abs. 7 zu 

verweisen, ist nicht klar. 

5. Datenverarbeitung und -nutzung im 

Beschäftigtenverhältnis nach § 32d BDSG-E 

Im Zentrum des Regelungsentwurfs stellen sich folgende Fragen: 

Zu welchen Zwecken dürfen erhobene Daten im Beschäftigungsverhältnis 

weiterverarbeitet werden? Ist eine Datenverwendung 

zu anderen Zwecken zulässig? Die Zweckbestimmung 

ist seit dem Volkszählungsurteil das tragende Prinzip des Datenschutzrechts. 

Sie fördert das Vertrauensverhältnis im Arbeitsund 

Dienstverhältnis, da die Beschäftigten dadurch sicher sein 

können, dass ihre Daten nicht anderweitig und zu zweifelhaften 

Zwecken entfremdet werden. Daher gelten für die Datenverwendung 

die zuvor bereits genannten Maßstäbe. Sie sind auch im Hinblick 

auf Konzernunternehmen von besonderem Interesse. 

Anders ist die Situation, wenn die vorhandenen Daten nach 

§ 32d Abs. 3 dafür verwendet werden sollen, um Pflichtverletzungen 

oder Straftaten aufzudecken oder zu verhindern. Auch 

im Beschäftigungsverhältnis begangene Ordnungswidrigkeiten 

können so verfolgt werden, wenn sie schwere Pflichtverletzun- 

50 Vgl. z.B. BAG NJW 2000, 604 ff.; BVerwG NJW 1991, 1317, 1318; Bengelsdorf, 

in: Bauer u.a. (Hrsg.), FS für H. Buchner, 2009, S. 108 ff.; Mengel, Compliance und 

Arbeitsrecht, Kap. 2 Rdnr. 19; vgl. Wedde, in: Sommer u.a. (Hrsg.), Im Netz@work, 

2003, S. 55, 60 ff. m.w.Nw.; s.a. HmbBfDI v. 2.7.2010: Bluttests bei Einstellungsuntersuchungen. 

51 BR-Drs. 353/10, S. 35. 

52 BR-Drs. 353/10, S. 35. 

53 Vgl. Presseerklärung des BayLfD v. 26.8.2010: Beschäftigtendatenschutz – 

Bundesregierung geht Schritt in die richtige Richtung. 

54 Dazu ausf. Brink/Schmidt, MMR 2010, 592 ff. 

55 Damit soll die langjährige Speicherung von Daten unterbunden werden, wie sie 

z.B. bei der Deutschen Bahn AG erfolgte, selbst wenn die Ergebnisse einen Korruptionsverdacht 

nicht bestätigten, vgl. BlnBDI JB 2009, Kap. 10.1, S. 138. 

gen darstellen. 51 Hier soll der Regelungsentwurf insbesondere 

zur Aufdeckung von Straftaten nach §§ 266, 299, 331–334 

StGB, allesamt typische Korruptionstatbestände, auch anlasslos 

Datenabgleiche gestatten. 

I.S.d. § 3a BDSG dürfen derartige Abgleiche zunächst nur in 

anonymisierter oder pseudonymisierter Form durchgeführt werden. 

Erst wenn sich aus den Abgleichergebnissen tatsächliche 

(und zu dokumentierende) Anhaltspunkte für bestimmte 

Rechtsverstöße ergeben, dürfen die Daten im erforderlichem 

Umfang personalisiert werden. 52 Nach Maßgabe des Abs. 3 Satz 3 

sind die betroffenen Beschäftigten zu unterrichten. 

§ 32d Abs. 3 soll anlasslos verdachtsfreie Abgleiche ermöglichen, 

soweit hiermit nur hinreichend gewichtige Rechts- oder Pflichtverletzungen 

der Beschäftigten verfolgt werden können. Dieser 

Ansatz steht in einem merkwürdigen Spannungsverhältnis zu der 

Empörung, die im Zusammenhang mit den Massendatenabgleichen 

zur Korruptionsbekämpfung seitens der Bahn AG und anderer 

Großunternehmen aufbrandete. U.a. diese Massendatenabgleiche 

waren der maßgebliche Anlass für die jetzt vorgeschlagenen 

Gesetzesänderungen. 53 Dass die Abgleiche zunächst anonymisiert 

oder pseudonymisiert erfolgen sollen, ist kein starker 

Schutz für die Betroffenen. Denn sobald diese datensparsamen 

Abgleiche zu greifbaren Ergebnissen führen, soll der Personenbezug 

hergestellt werden. Als Fazit kann zu dieser Vorschrift festgehalten 

werden, dass der Entwurf zwar mit Klarstellungen auf die 

vergangenen missbräuchlichen Massendatenabgleiche reagiert, 

aber nicht auf eine Verbesserung der Datenschutzrechtslage der 

Beschäftigten abzielt. Überzeugender wäre es daher, wenn der 

Gesetzentwurf zu den Maximen des § 32 Abs. 1 Satz 2 BDSG zurückkehrte: 

Keine anlasslosen Massen-Screenings mit personenbezogenen 

Daten, solche „Rasterfahndungen“ dürfen nur mit 

anonymisierten Daten durchgeführt werden. Hinweisen auf Betrug 

oder Korruption im Unternehmen kann dann – wie bisher – 

die Innenrevision im Wege von Stichproben nachgehen. 54 

6. Datenerhebung ohne Kenntnis des 

Beschäftigten zur Aufdeckung und Verhinderung 

von Straftaten und Pflichtverletzungen im 

Beschäftigtenverhältnis nach § 32e BDSG-E 

Ob das Anliegen der Bundesregierung gelungen ist, einen angemessenen 

Ausgleich zwischen den Erfordernissen einer effektiven 

Compliance und dem Datenschutz herzustellen, kann insbesondere 

an den Vorschriften zur heimlichen Überwachung 

von Beschäftigten beurteilt werden. Die Vorschrift in § 32e erlaubt 

im Grundsatz nur die offene Erhebung von Beschäftigtendaten, 

Abs.1. Eine heimliche Erhebung von Beschäftigtendaten 

ist nach den Abs. 2–7 nur unter strengen Voraussetzungen zugelassen. 

Zu beachten ist, dass Abs. 2 auf die Erhebung von Beschäftigtendaten 

des einzelnen Beschäftigten abstellt, heimliche 

Massendatenerhebungen sind deshalb von vorneherein 

unzulässig. § 32e setzt für die heimliche Datenerhebung zunächst 

voraus, dass Tatsachen den Verdacht einer schwerwiegenden 

Pflichtverletzung oder einer im Beschäftigtenverhältnis 

begangenen Straftat seitens des überwachten Beschäftigten begründen. 

Weiterhin muss sie zur Aufklärung der begangenen 

oder Verhinderung künftiger schwerer Verfehlungen erforderlich 

sein (Abs. 2) und überdies dem Verhältnismäßigkeitsprinzip genügen 

(Abs. 3). Auch der zeitliche Umfang der Datenerhebung und 

-verwendung wird grundsätzlich eng begrenzt (Abs. 4, Abs. 6). 55 

Vor dem Hintergrund der Überwachungsskandale der Vergangenheit 

von besonderer Bedeutung ist die nach Abs. 5 bestehende 

Pflicht des Arbeitgebers, die den Verdacht begründenden 

Tatsachen vor der Datenerhebung zu dokumentieren und die 

Beschäftigten nachträglich zu unterrichten. Mit der Dokumentationspflicht 

reagiert der Entwurf insoweit sachgerecht auf Fälle 

55

der heimlichen Beschäftigtenüberwachung, in denen Überwachungsaufträge 

mündlich vergeben wurden und deshalb teilweise 

nur auf Grund von Rechnungen extern beauftragter Dienstleistungsunternehmen 

rekonstruiert werden konnten. Die Dokumentationspflicht 

ermöglicht eine nachträgliche Rechtmäßigkeitskontrolle, 

die Unterrichtung des Beschäftigten versetzt diesen in die 

Lage, eine solche Rechtmäßigkeitskontrolle anzustoßen. 

In der Unterrichtungspflicht könnte in der Praxis künftig ein 

Hauptvollzugsproblem der Vorschrift liegen, weil die Einhaltung 

der Informationspflicht von dem betroffenen Beschäftigten häufig 

nicht kontrollierbar sein dürfte. Die in der Literatur vertretene 

Konsequenz, die rechtswidrige heimliche Datenerhebung mit 

einem Verwertungsverbot zu belegen, 56 nimmt der Entwurf nicht 

ausdrücklich auf. Angesichts der bisherigen Rechtsprechung zum 

Verbot der Verwertbarkeit rechtswidrig heimlich erhobener Da- 

ten 57 

56 

besteht allerdings die Aussicht, dass zumindest in bestimm- 

ten Fallgruppen ein Verwertungsverbot de lege lata entstehen 

wird. Ob rechtswidrig gewonnene Daten künftig zu Vortragsverwertungsverboten 

des Arbeitgebers z.B. in Kündigungsschutzprozessen 

führen, dürfte allerdings eher unwahrscheinlich sein. 58 

Die Vorschrift enthält auch eine Klausel zum Schutz des Kernbereichs 

privater Lebensgestaltung. Legt man die gefestigte Rechtsprechung 

des BVerfG zum Kernbereich privater Lebensgestaltung 

zu Grunde, dürfte § 32e Abs. 7 allenfalls selten zur Anwendung 

kommen. 59 Untersagt wäre danach z.B. das Abhören von 

Äußerungen innerster Gefühle oder bestimmte Ausdrucksformen 

der Sexualität. 60 Man wird den Schutzbereich der Vorschrift 

wohl ähnlich wie den des § 201a StGB auslegen müssen, wobei 

die untersagte Datenerhebung nicht nur durch Bildaufnahmen 

geschehen kann. 

So notwendig die tatbestandlichen Begrenzungen der heimlichen 

Beschäftigtenüberwachung durch den Entwurf sind: Bei 

einer Gesamtbetrachtung der Vorschrift ist gleichwohl die Frage 

aufzuwerfen, aus welchen Gründen der Arbeitgeber zur Straftatenverfolgung 

befugt sein soll. Der Entwurf ermöglicht damit 

den Arbeitgebern in Beschäftigtenverhältnissen, ähnlich wie 

Strafverfolgungsbehörden gegen Beschäftigte zu ermitteln, um 

begangene Straftaten aufzuklären. Eine heimliche Datenerhebung, 

die ohne schwerwiegenden Anlass (z.B. ein schwerer Betrug 

oder Untreue) durchgeführt wird, macht indes den Mitarbeiter 

zu einem „Risikopartner“ und gefährdet jedes Vertrauensverhältnis. 

Selbstverständlich ist es dem Arbeitgeber nicht 

zuzumuten, schwerwiegende Beeinträchtigungen seiner 

Rechtsgüter ohne Gegenwehr hinzunehmen. Die Verfolgung 

begangener Straftaten ist jedoch Sache des Staates. 

7. Beobachtung nicht öffentlich zugänglicher 

Betriebsstätte mit optisch elektronischen 

Einrichtungen (Videoüberwachung) nach § 32f 

BDSG-E) 

Der Einsatz betrieblicher/dienstlicher Videoüberwachung 

nimmt zu. Diese Technik hat eine besonders hohe Eingriffsqualität, 

da der Einzelne bildlich in seinen Bewegungen, Stimmungen 

usw. erfasst wird. Auch i.R.d. Überwachungsskandale spielten 

verdeckte Kameras eine zentrale Rolle, die Beschäftigte bis in die 

Intimsphäre hinein (z.B. auf Toiletten) beobachteten. 

Bislang sind die Regeln zur Videoüberwachung in § 6b BDSG 

auf die Beobachtung öffentlich zugänglicher Räume (Ladenpassagen, 

Bankfilialen usw.), nicht aber auf nicht öffentlich zugängliche 

Betriebsstätten anwendbar. Bei diesen besteht eine gesetzlich 

ungeregelte Situation, die – wie oben bereits angedeutet – 

durch richterrechtliche Grundsätze ausgefüllt wird. Die Neuregelung 

in § 32f will diesen Zustand ändern und trifft eine Regelung 

für abschließend festgelegte Zwecke (zur Zutrittskontrolle, 

Wahrnehmung des Hausrechts, zum Schutz des Eigentums, zur 

Sicherheit des Beschäftigten, zur Sicherung von Anlagen oder 

zur Abwehr von Gefahren für die Sicherheit des Betriebs). Liegt 

einer dieser Gründe vor, kann die Videoüberwachung unzulässig 

sein, wenn schutzwürdige Interessen des Beschäftigten 

überwiegen. Eine Überwachung etwa von Sanitär- und Umkleideräumen 

ist nach Abs. 2 ganz i.S.d. bisherigen Rechtsprechung61 

und im Einklang mit § 201a StGB unzulässig, weil sie 

gegen das Recht auf Intimität verstößt. 

Die Videokamera und auch eine entsprechende Attrappe, die 

eine Überwachung vorgibt, muss kenntlich gemacht werden 

(z.B. durch ein Piktogramm), Abs. 1 Satz 2. Wegen der besonderen 

Eingriffsschwere ist eine heimliche Videokontrolle strikt untersagt. 

Aus datenschutzrechtlicher Sicht ist diese Vorschrift der 

mutigste Schritt im Entwurf. 62 

Allerdings ist bereits nach geltender Rechtslage eine heimliche 

Videoüberwachung nur in äußerst seltenen Ausnahmefällen gestattet. 

63 Selbst wenn eine strafbare Handlung eines Beschäftigten 

im Raum steht, ist nach gegenwärtiger Rechtslage eine 

heimliche Überwachung nicht immer zulässig. Gleichwohl hat 

die Praxis vor allem im Bereich des Einzelhandels immer wieder 

dieses stark eingeschränkte Recht des Arbeitgebers zur heimlichen 

Videoüberwachung häufig zu weit ausgelegt. Mit dem 

strikten Verbot wird der Entwurf der grundrechtlichen Pflicht zu 

einem effektiven Persönlichkeitsschutz der Beschäftigten gerecht. 

64 Unzumutbar für den Arbeitgeber65 ist ein solches striktes 

Verbot schon deshalb nicht, weil bei dem konkreten Verdacht 

der Straftatenbegehung die Einschaltung von Strafverfolgungsbehörden 

jederzeit möglich ist. 

Von datenschutzrechtlicher Relevanz nach § 32f Abs. 1 Satz 4 ist 

die Frage, welche Rechtspflichten Kameraattrappen auslösen. 

Die zivilrechtliche Rechtsprechung behilft sich bislang überwiegend 

mit den Vorschriften der §§ 823, 1004 BGB. Wird eine Videokamera 

so angebracht, dass die ernsthafte Möglichkeit besteht, 

automatisch filmische Aufzeichnungen von Personen zu 

machen, begründet der hierdurch erzeugte „Überwachungsdruck“ 

unabhängig davon, ob tatsächlich Videoaufnahmen gefertigt 

werden, eine Beeinträchtigung des allgemeinen Persönlichkeitsrechts 

der so „überwachten“ Personen. 66 Aus datenschutzrechtlicher 

Sicht löst insbesondere § 6b Abs. 2 BDSG 

praktische Schwierigkeiten aus, wonach die Videoüberwachung 

und die verantwortliche Stelle kenntlich zu machen sind. 

Da keine reale Videoüberwachung stattfindet, löst § 6b Abs. 2 

BDSG unmittelbar keine Kennzeichnungspflicht, wohl aber häufig 

Eingaben bei den Datenschutzbehörden aus. 67 Diese stehen 

56 Zur Problematik der Handyortung vgl. Jandt/Schnabel, K&R 2008, 723; Steidle, 

MMR 2009, 167; zur Ortung durch GPS vgl. Gola (o. Fußn. 28), Rdnr. 89 ff. 

57 Vgl. z.B. BAG NJW 2010, 104 ff. (rechtswidriges Abhören von Telefongesprächen); 

zum Thema vgl. auch Lunk, NZA 2009, 457 ff. 

58 Die Rspr. ist insoweit sehr zurückhaltend, vgl. etwa BAG NJW 2008, 2732 ff., 

Abs. 24; Nds.LAG NZA-RR 2010, 406 ff.; LAG Halle, NJ 2008, 575 ff. 

59 Leider gibt auch die Begr. zu § 32e Abs. 7 wenig her, wie die Vorschrift zu verstehen 

sein soll, vgl. S. 38. 

60 Vgl. z.B. BVerfG MMR 2004, 302; w. Nw. bei Jarass/Pieroth, GG,20.Aufl., 

Art. 1 Rdnr. 20, Art. 10 Rdnr. 18 und Art. 13 Rdnr. 26. 

61 Vgl. z.B. LAG Hamm RDV 2007, 176: Fotografie eines auf der Toilette sitzenden 

Beschäftigten. 

62 Vgl. dazu auch die Presserklärungen des BfDI v. 25.8.2010 und des BayLfD v. 

26.8.2010. 

63 Vgl. z.B. BAG RDV 2005, 216 ff.; BAG NJW 2003, 3436 ff. 

64 Vgl. Presseerklärung BayLfD v. 26.8.2010. 

65 So aber offenbar die Auffassung des HDE, vgl. Stuttgarter Nachrichten v. 

25.8.2010: Arbeitgeber wollen weiterhin überwachen. 

66 Vgl. BGH MMR 2010, 502 ff.; LG Bonn NJW-RR 2005, 1067 f.; LG Darmstadt 

NZM 2000, 360. 

67 So zu Recht Gola/Schomerus, BDSG, § 6b Rdnr. 27; Bizer,in:Simitis,BDSG§6b 

Rdnr. 39 vertritt die Auffassung, auf Grund des vergleichbaren Überwachungsdrucks 

müsse die verantwortliche Stelle gekennzeichnet sein. Demgegenüber rät 

Niese, in: Wilde et al., BayDSG, Art. 21a Rdnr. 9 von Hinweisschildern gänzlich ab.

vor der schwierigen Entscheidung, ob sie der „verantwortlichen 

Stelle“ empfehlen, mit dem Anbringen von Hinweisschildern 

i.S.d. § 6b Abs. 2 zu lügen oder ob sie ihren Petenten ohne Offenlegung 

der Attrappeneigenschaft vermitteln, warum in dem 

konkreten Eingabefall abweichend von den üblichen Standards 

keine Hinweispflicht besteht. Der Entwurf setzt sich über etwaige 

Bedenken hinweg und setzt auf die pragmatische Lösung, 

wonach Attrappen hinsichtlich der Hinweispflicht einer tatsächlichen 

Videoüberwachung gleichzusetzen sind. 

8. Ortungssysteme nach § 32g BDSG-E 

Der Entwurf enthält eine Vorschrift zum Einsatz von Ortungssystemen. 

Mit Hilfe von Ortungssystemen (GPS oder Handy-Ortung) 

kann der jeweilige geografische Aufenthaltsort des Beschäftigten 

jederzeit präzise bestimmt werden, wodurch dieser 

zum Objekt einer umfassenden Verhaltens- und Leistungskontrolle 

werden kann. Die Ortungsdaten dürfen daher nur zu bestimmten 

konkreten Zwecken erhoben und verwendet werden 

(zur Sicherheit des Beschäftigten oder zur Koordinierung des 

Einsatzes des Beschäftigten). Insoweit sieht der Entwurf in 

Abs. 1 Satz 4 eine strikte Zweckbindung vor. Bei der Erhebung 

sind nach Abs. 1 Satz 1 die schutzwürdigen Interessen des Beschäftigten 

zu beachten; überwiegen diese, hat der Umgang 

mit Geolokalisationsdaten zu unterbleiben. 

I.S.d. Transparenzgebots muss der Beschäftigte auch über den 

Umfang der Aufzeichnungen und evtl. vorgesehene Auswertungen 

informiert werden. Hier dürfte in der Praxis ein Hauptproblem 

liegen, weil die Einhaltung der Informationspflicht von dem 

betroffenen Beschäftigten häufig nicht kontrollierbar sein dürfte. 

Das Beispiel von erlaubt privat genutzten PKWs zeigt, dass der 

Einsatz von Ortungssystemen auch Lebensbereiche der Beschäftigten 

erfassen kann, die ihrer Privatsphäre zuzurechnen sind 

und deshalb den Arbeitgeber nichts angehen. Dem versuchen 

Abs. 1 Satz 2 und Abs. 2 gerecht zu werden. Nach der ersten 

Vorschrift ist die Erhebung von Ortungsdaten nur während der 

Arbeitszeit des Beschäftigten gestattet. Die zweite Regelung betrifft 

Ortungssysteme zum Schutz beweglicher Sachen. 

9. Biometrische Verfahren nach § 32h BDSG 

In der Praxis wird immer wieder versucht, Beschäftigte mit Hilfe 

bestimmter körperlicher Merkmale zu identifizieren (z.B. durch 

Fingerabdruck, Iris-Scan, Gesichtskontrolle). In vielen Fällen ergeben 

sich dabei überschießende Informationen, etwa höchst 

sensible Erkenntnisse über den Gesundheitszustand, also besonders 

schützenswerte Daten i.S.d. § 3 Abs. 9 BDSG. 

68 Auch die Begr. verhält sich hierzu nicht, vgl. BR-Drs. 353/10, S.41. 

69 Vgl. dazu BVerfGE 87, 334, 340; BVerfGE 97, 228, 268; BVerfGE 120, 180, 

198. 

70 Zur heimlichen TK-Überwachung durch den Arbeitgeber vgl. z.B. bereits 

BVerfG MMR 2003, 35 ff.; BAG NZA 1996, 218 ff. 

71 Man denke z.B. an die zahlreichen Fälle des Downloads von pornografischem 

Bildmaterial; vgl. z.B. BAG NJW 2006, 2939 ff., Rdnr. 32; BVerwGE 111, 291 ff. 

72 Vgl. dazu z.B. die Gesamtüberblicke bei Gola (o. Fußn. 28); Däubler, Internet 

und Arbeitsrecht, 3. Aufl. 2004; ders., Gläserne Belegschaften?, 5. Aufl. 2010. 

73 Neben dem Fernmeldegeheimnis gelten auch die aus dem allgemeinen Persönlichkeitsrecht 

abgeleiteten Grundrechte auf informationelle Selbstbestimmung und 

auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. 

Gerade Letzteres führt zu erheblichen Unsicherheiten bei der Rechtsanwendung. 

Vgl. als Negativbeispiel VGH Kassel MMR 2009, 714, in dem die unterschiedlichen 

Rechtsfolgen der Anwendung der beiden Grundrechte verkannt werden. 

74 Das ergibt sich im Umkehrschluss aus § 11 Abs. 1 Nr. 1 TMG. 

75 Anders als das TMG sieht das TKG keine ausdrückliche Regelung vor; die eingeschränkte 

Anwendung des TKG auf nur private Kommunikation wird aus dem Umstand 

abgeleitet, dass die Anwendbarkeit des TKG ein Anbieter-Nutzer-Verhältnis 

voraussetzt. 

76 Vgl. § 14 Abs. 4 BDatGE, BT-Drs. 17/69, S. 7. 

77 Noch der Referentenentwurf v. 28.5.2010 sah in § 32i Abs. 4 eine Regelung vor. 

Aus diesem Grund sollen nach § 32h BDSG-E nur bestimmte 

biometrische Merkmale eines Beschäftigten erhoben und verwendet 

werden dürfen und dies auch nur dann, soweit dies aus 

betrieblichen Gründen zu Autorisierungs- und Authentifikationszwecken 

erforderlich ist. Schutzwürdige Interessen des Beschäftigten 

am Ausschluss der Datenerhebung und Datenverwendung 

überwiegen jedenfalls, wenn besondere Arten personenbezogener 

Daten miterhoben werden. 

Nach Abs. 1 Satz 2 können Arbeitgeber Lichtbilder von Beschäftigten 

auch zu anderen Zwecken erheben und verwenden, 

wenn die betroffenen Beschäftigten hierin eingewilligt haben. 

Die Vorschrift sieht hierzu keine Einschränkungen vor. 68 Hinsichtlich 

der Wirksamkeit der Einwilligung gelten die üblichen 

Voraussetzungen nach § 4a BDSG. Im Lichte der Bedeutung des 

Grundrechts am eigenen Bild69 wird man im Einklang mit der 

bisherigen Rechtslage ungeachtet der erteilten Einwilligung zumindest 

eine sachliche Notwendigkeit für die Verwendung der 

Bilddaten durch den Arbeitgeber verlangen müssen. 

Daten, die nicht mehr für die vorgesehenen Zwecke erforderlich 

sind, müssen nach Abs. 2 unverzüglich gelöscht werden. Dies 

gilt i.S.d. Persönlichkeitsschutzes auch dann, wenn schutzwürdige 

Interessen des Beschäftigten einer weiteren Speicherung 

entgegenstehen. Wie nach bisheriger Rechtslage wird der Arbeitgeber 

nach § 9 BDSG bei dem Technikeinsatz ein besonderes 

Augenmerk auf Verfahren legen müssen, die einen Missbrauch 

der Daten ausschließen. 

10. Nutzung von TK-Diensten nach § 32i BDSG-E 

Wie nicht zuletzt die DTAG-Affäre eindrucksvoll belegte, bietet 

die Telekommunikation ein besonderes Potential für eine illegale, 

umfassende Überwachung von Beschäftigten. 70 Allerdings 

kann umgekehrt die missbräuchliche Nutzung der Telekommunikation 

durch Beschäftigte das Ansehen des Arbeitgebers erheblich 

schädigen. 71 Die Kontrolle der dienstlichen Telefonie-, E- 

Mail- und Internetnutzung stellt nicht zuletzt deshalb einen heiß 

umstrittenen Bereich im Beschäftigtendatenschutzrecht dar. 72 Zugleich 

ist die Rechtslage nicht nur einfachgesetzlich, sondern auch 

verfassungsrechtlich komplex, weil unterschiedliche Grundrechte 

mit unterschiedlicher Schutzreichweite zu beachten sind. 73 

Man darf gespannt sein, ob und inwieweit § 32i zur Rechtssicherheit 

und zum Rechtsfrieden beitragen kann. Nach der bisherigen 

Gesetzeslage ist danach zu unterscheiden, ob eine ausschließlich 

berufliche oder dienstliche Nutzung von TK-Diensten vorliegt oder 

der Arbeitgeber eine private Nutzung von TK-Diensten zulässt. 

Wird die private Nutzung gestattet, gilt der Arbeitgeber als Diensteanbieter 

i.S.d. TMG74 und TKG. 75 Er hat dann das strafrechtlich 

bewehrte Fernmeldegeheimnis zu beachten. 

Anders als der Entwurf zum BDatG76 und Vorentwürfe77 verzichtet 

§ 32i weitgehend auf eine ausdrückliche Regelung der privaten 

Nutzung. Das Regelungsvorhaben betrifft mithin ganz überwiegend 

die Nutzung von TK-Diensten des Beschäftigten ausschließlich 

zu beruflichen oder dienstlichen Zwecken. 

Abs. 1 bildet die bereits jetzt weitgehend anerkannten datenschutzrechtlichen 

Grundregeln der dienstlich veranlassten Nutzung 

der Telekommunikation ab. Der Arbeitgeber/Dienstherr 

darf anfallende TK-Verkehrsdaten (i.S.v. § 3 Nr. 30 TKG) nur zu 

bestimmten konkreten Zwecken nutzen (zur Gewährleistung 

des ordnungsgemäßen Betriebs von TK-Netzen oder TK-Diensten, 

einschließlich der Datensicherheit; zu Abrechnungszwecken 

oder zu einer stichprobenartigen oder anlassbezogenen 

Leistungs- oder Verhaltenskontrolle). Wie bei den übrigen Regelungen 

sind die etwaig überwiegenden Interessen und ein Benachrichtigungsrecht 

der Beschäftigten zu beachten. 

Bei der Erfassung von TK-Inhalten einer zu beruflichen und 

dienstlichen Zwecken erlaubten Kommunikation liegt allerdings 

57

ein besonders schwerer Eingriff in das Persönlichkeitsrecht des 

Beschäftigten vor. Deshalb soll § 32i Abs. 2 einen Eingriff im 

Grundsatz nur gestatten, wenn der Beschäftigte und sein Kommunikationspartner 

vor der Erhebung und Verwendung im Einzelfall 

vorher darüber informiert wurden und in den Datenumgang 

eingewilligt haben. Z.B. kommt eine derartige Vorgehensweise 

bei der Anschulung von neuen Beschäftigten etwa im Servicebereich 

in Betracht. 

Für den Fall, dass die Nutzung von Telefondiensten zum wesentlichen 

Inhalt der geschuldeten Leistung gehört (insbesondere bei 

Call-Centern78), gestattet Abs. 2 Satz 2 eine weitergehende Erfassung 

von Inhaltsdaten. Auf Grund des TK-Geheimnisses wird zwar 

der Gesprächspartner des Beschäftigten im Einzelfall vorab informiert, 

nicht jedoch der Beschäftigte selbst. Er soll nur in geeigneter 

Weise vorab darüber informiert werden, dass er „in einem eingegrenzten 

Zeitraum mit einer Kontrolle zu rechnen hat“. Nach Satz 

3 ist er allerdings nachträglich zu unterrichten. Mit dieser Regelung 

kommt der Entwurf den Interessen von Markt- und Sozialforschungsinstituten 

entgegen. Obwohl eine derartige Vorgehensweise 

unstreitig das Recht des Beschäftigten am eigenen Wort erheblich 

beeinträchtigt, 79 wird sie von den Verbänden zur Sicherung 

der Interviewqualität in ihren Richtlinien empfohlen. 80 

Gesondert in Abs. 3 geregelt ist der Umgang mit Inhaltsdaten 

bei der beruflichen und dienstlichen Nutzung von anderen TK- 

Diensten. Mit „anderen“ Diensten sind alle TK-Dienste gemeint, 

die keine Telefondienste sind (z.B. E-Mail, Internet usw.). 81 Im 

Zusammenhang mit der Bereitstellung solcher Dienste dürfen 

Inhaltsdaten erhoben und verwendet werden, soweit dies für 

den ordnungsgemäßen Dienst- oder Geschäftsbetrieb erforderlich 

ist. Entsprechend zu Abs. 1 Nr. 3 gestattet Abs. 3 auch die 

stichprobenartige oder anlassbezogene Leistungs- und Verhaltenskontrolle. 

Regelmäßig sind die betroffenen Beschäftigten vor der Datenerhebung 

zu informieren. Heimliche Maßnahmen werden nach 

Abs. 3 Satz 3 nur unter den Voraussetzungen des § 32e Abs. 2–7 

erlaubt. Zumindest hinsichtlich der stichprobenartigen oder anlassbezogenen 

Leistungs- und Verhaltenskontrolle hätte es angesichts 

der relativ großen Eingriffsintensität allerdings nahe gelegen, 

den Arbeitgeber auch bei nicht heimlichen Datenerhebungen 

zu einer Dokumentation zu verpflichten. 

Die Inhalte und Verbindungsdaten einer abgeschlossenen Telekommunikation 

eines Beschäftigten, die Entwurfsbegründung 

nennt insoweit beispielhaft die auf einem Arbeitsplatzcomputer 

eingegangenen E-Mails, 82 dürfen nach den allgemeinen Regeln 

der §§ 32c, d erhoben und verwendet werden. Hintergrund dieser 

Regelung ist der Umstand, dass der Schutz des Fernmeldegeheimnisses 

aus Art. 10 Abs. 1 GG mit dem abgeschlossenen 

Empfang einer E-Mail endet, weil und soweit der Betroffene die 

technische Möglichkeit hat, die empfangenen Daten zu verarbeiten, 

insbesondere zu löschen. 83 

Zur Nutzung von TK-Diensten zu privaten Zwecken verhält sich 

§ 32i – anders als Vorentwürfe84 – nicht ausdrücklich. In Abs. 4 

Satz 2 ist allerdings vorgesehen, dass der Arbeitgeber private 

Daten und Inhalte des Beschäftigten nach Abschluss der Telekommunikation 

nur erheben und verwenden darf, „wenn dies 

zur Durchführung des ordnungsgemäßen Dienst- oder Geschäftsbetriebes 

unerlässlich ist und er den Beschäftigten hierauf 

schriftlich hingewiesen hat.“ Dies soll vor allem Weiterleitungsfälle 

in Abwesenheitszeiten des Beschäftigten betreffen. 85 

Diese Vorschrift wirft verfassungsrechtliche Bedenken auf, sofern 

der Arbeitgeber die private Nutzung von TK-Diensten gestattet. 

In diesem Fall kommt es durchaus in Betracht, dass der 

Beschäftigte sich hinsichtlich seines E-Mail-Accounts auf das 

Grundrecht auf Gewährleistung der Vertraulichkeit und Integri- 

58 

tät informationstechnischer Systeme berufen kann. Der verfassungsrechtlich 

begründete Schutz dieses Grundrechts reicht regelmäßig 

mindestens so weit wie das Fernmeldegeheimnis aus 

Art. 10 Abs. 1 GG. 86 Es ist fraglich, ob ein vorheriger Hinweis 

und die Notwendigkeit des ordnungsgemäßen Dienst- oder Geschäftsbetriebs 

als Voraussetzungen für eine Datenerhebung 

diesem Schutzbedarf genügt. I.Ü. schweigt der Entwurf zur privaten 

Nutzung von TK-Diensten – und spart so die Beantwortung 

der in der Praxis heftig diskutierten Streitfragen aus. 

11. Unterrichtungspflichten nach § 32j BDSG-E 

Der Unterabschnitt über den Beschäftigtendatenschutz enthält 

eine Regelung zu Informationspflichten bei Datenschutzpannen. 

Die Vorschrift legt dem Arbeitgeber gegenüber seinen Beschäftigten 

strengere Informationspflichten auf als der bereits geltende 

§ 42a BDSG. 87 Während diese Vorschrift eine Unterrichtungspflicht 

vereinfacht ausgedrückt nur für schwerwiegende Fälle begründet, 

soll nach dem Entwurf künftig jede rechtswidrige Übermittlung 

bzw. Kenntniserlangung durch Dritte eine entsprechende 

Pflicht zur Mitteilung an den Beschäftigten auslösen. 88 Die Mitteilung 

an die Aufsichtsbehörde hat bei drohenden schwerwiegenden 

Beeinträchtigungen von Rechten oder schutzwürdigen Interessen 

der Beschäftigten zu erfolgen, ohne dass die in § 42a 

Satz 1 BDSG aufgezählten Datenkategorien betroffen sein müssen. 

I.Ü. gelten die Maßstäbe des § 42a BDSG entsprechend. 

12. Änderungen nach § 32k BDSG-E 

Die Regelung sieht die datenschutzrechtliche (Nachberichts-) 

Pflicht des Arbeitgebers vor, Dritten (also auch der Konzernmuttergesellschaft 

oder anderen Konzernunternehmen), an die er 

Beschäftigtendaten übermittelt hat, die Berichtigung, Löschung 

oder Sperrung dieser Daten unverzüglich mitzuteilen. Ausnahme 

von der Pflicht soll nur dann gegeben sein, wenn die Mitteilung 

nicht erforderlich ist, um die schutzwürdigen Interessen der 

Beschäftigten zu wahren. Diese Vorschrift entspricht weitgehend 

der geltenden Gesetzeslage, vgl. § 35 Abs. 7 BDSG (sog. 

„Nachberichtspflicht“). 89 

13. Geltung für Dritte, Rechte der Interessenvertretung, 

Petitionsrecht nach § 32l BDSG-E 

Wenn § 32l Abs. 2 die Vorschriften über den Beschäftigtendatenschutz 

auf externe Dienstleister des Arbeitgebers erstreckt, 

reagiert der Entwurf auf die weidlich bekannten Fälle der Mitarbeiterüberwachung, 

bei denen personenbezogene Beschäftigtendaten 

an externe Dienstleistungsunternehmen zu Überwachungszwecken 

weitergegeben wurden. Der Regelungsentwurf 

verhindert derartige Weitergaben nicht, sofern sie nach den 

bereits vorgestellten Bestimmungen zulässig sind. § 32l Abs. 2 

bezweckt allerdings, dass der Schutzstandard durch diese Datenweitergaben 

nicht abgesenkt wird. Anders als der BDatG-E90 verzichtet 

der vorliegende Entwurf auf umfangreiche Regelungen 

78 Vgl. BR-Drs. 353/10, S. 43. 

79 Vgl. BVerfGE 106, 28 ff. 

80 Vgl. ADM Arbeitskreis Deutscher Markt- und Sozialforschungsinstitute e.V., ASI 

Arbeitsgemeinschaft Sozialwissenschaftlicher Institute e.V., BVM Berufsverband 

Deutscher Markt- und Sozialforscher e.V. und von der DGOF Deutsche Gesellschaft 

für Online-Forschung e.V.: Richtlinie für telefonische Befragungen, Stand: Januar 

2008, Nr. 7.3. 

81 Vgl. BR-Drs. 353/10, S. 44 zu Abs. 3. 

82 BR-Drs. 353/10, S. 44 zu Abs. 4. 

83 Vgl. dazu z.B. BVerfG MMR 2006, 217; VGH Kassel MMR 2009, 714 ff. 

84 Vgl. noch RefE v. 28.6.2010 zu § 32i Abs. 4, der einen Verweis auf das TKG enthält. 

85 Vgl. BR-Drs. 353/10, S. 45. 

86 Vgl. Petri (o. Fußn. 15), S. 55 ff. 

87 Vgl. dazu Eckhart/Schmitz, DuD 2010, 390 ff.; Hanloser, DSB 11/2009, S. 11; 

Hornung NJW 2010, 1841 ff. 

88 Ganz ähnlich insoweit § 19 Satz 1 BDatG-E, BT-Drs. 17/69, S. 8. 

89 Vgl. dazu z.B. Dix, in: Simitis, BDSG, § 35 Rdnr. 63 ff. 

90 Vgl. §§ 32 ff. BDatG-E, BT-Drs. 17/69, S. 11.

zur Einbindung von Interessenvertretungen der Beschäftigten. 

Stattdessen lässt § 32l Abs. 3 die Rechte dieser Interessenvertretungen 

unberührt. 

Rechtsstaatlich bedenklich ist die Vorschrift des § 32l Abs. 4, der 

das Petitionsrecht von Beschäftigten bei den Datenschutzbehörden 

regelt. Dem Entwurf zufolge sollen Beschäftigte mutmaßliche 

Datenschutzverstöße des Arbeitgebers an die zuständige 

Datenschutzbehörde nur melden dürfen, wenn der Arbeitgeber 

einer Beschwerde des Beschäftigten nicht unverzüglich abhilft. 

DamitwirdeinesolcheBeschwerdeinderbetrieblichenPraxis 

nahezu unmöglich gemacht: Muss der Beschäftigte sich zunächst 

an seinen Arbeitgeber wenden, weiß dieser bei einer späteren 

Beschwerde stets, wer ihn bei der zuständigen Datenschutzinstanz 

angezeigt hat. Der Beschäftigte müsste dann erhebliche 

Nachteile bis hin zur fristlosen Kündigung befürchten, 

selbst wenn er rechtmäßig gehandelt hat. 

Gegenüber der geltenden Rechtslage wäre die Einschränkung 

eine deutliche Verschlechterung. Nahezu unstreitig darf sich der 

Betroffene eines Datenschutzverstoßes gegenwärtig stets an 

die Datenschutzbehörden wenden. 91 In diesem Sinne wurde 

bisher auch die europäische Datenschutzrichtlinie verstanden, 

die das Recht jedes Betroffenen gewährleistet, sich an die staatliche 

Kontrollstelle zu wenden. 

Die vorgesehene Vorschrift würde eine Verschlechterung der 

gegenwärtigen Rechtslage selbst für sog. Whistleblower bedeuten, 

die schwerwiegende Missstände in ihrem Arbeitsumfeld 

aus primär uneigennützigen Motiven aufdecken. 92 Den wesentlichen 

Grundzügen der bisherigen arbeitsgerichtlichen Rechtsprechung 

entsprechend muss sich ein Arbeitnehmer93 auf 

Grund seiner beschäftigungsvertraglichen Treuepflichten zwar 

regelmäßig zunächst um eine innerbetriebliche Klärung des 

Sachverhalts bemühen. 94 Heute prüft die fachgerichtliche 

Rechtsprechung jedoch in besonderer Weise, inwieweit ein legitimes 

Motiv des Beschäftigten besteht, einen tatsächlichen erheblichen 

Missstand zu melden. 95 Eine Strafanzeige z.B. ist 

dann gerechtfertigt, wenn der Beschäftigte Kenntnis von Straftaten 

erhält, durch deren Nichtanzeige er sich selbst einer Strafverfolgung 

aussetzen würde. 96 Die Rechtsprechung hat damit 

klargestellt, dass der innerbetrieblichen Klärung eines Missstands 

nicht generell der Vorrang gebührt. Bedauerlicherweise 

greift der Entwurf Vorarbeiten zu Whistleblower-Klauseln aus 

der vergangenen Legislaturperiode97 nicht auf. 

Als Ergebnis ist festzuhalten, dass der Gesetzgeber hinsichtlich des 

§ 32l Abs. 4 jedenfalls in Bezug auf Betroffene in der Nachbesserungspflicht 

ist. Geboten wäre also eine hinreichend normenbestimmte 

und klare Regelung, ob und unter welchen Bedingungen 

Beschäftigte betriebsinterne Missstände an Dritte (insbesondere 

an zuständige Behörden) weitergeben dürfen. Aus datenschutzrechtlicher 

Sicht sind dabei Vorschriften zum Schutz des Meldenden, 

aber auch zum Schutz etwaiger Dritter erforderlich. 

14. Änderungen in § 43 BDSG-E 

Bei der Durchsicht des Entwurfs fällt die geringe Zahl der Bußgeldvorschriften 

auf, die im Zusammenhang mit dem Beschäf- 

91 Vgl. dazu Petri, in: Simitis, BDSG, § 38 Rdnr. 3 m.w.Nw. 

92 Vgl. Deutscher Bundestag, Wissenschaftlicher Dienst, Aktueller Begriff: Whistleblower 

(21.1.2009). 

93 Für Beamte des Bundes sieht § 37 Abs. 2 Nr. 3 BeamtStG nunmehr vor, dass die 

beamtenrechtliche Verschwiegenheitspflicht nicht mehr gilt, soweit ein hinreichender 

Verdacht einer Korruptionsstraftat nach den §§ 331–337 StGB angezeigt wird. 

94 Vgl. BAG NJW 2004, 1547; dazu und zum Folgenden vgl. Deiseroth/Derleder, 

ZRP 2008, 248, 249. 

95 BAG NJW 2004, 1547; LAG Rheinland-Pfalz, U. v. 24.10.2007 – 7 Sa 451/07. 

96 Vgl. BAG NJW 2004, 1547, 1549 f. 

97 Vgl. Anhörungsverfahren BT-Ausschuss-Drs. 16(10)850. 

tigtendatenschutz aufgenommen wurden. Dieser Umstand 

kann noch hingenommen werden, zumal eine inflationäre Aufnahme 

neuer Bußgeldtatbestände nicht zwingend zielführend 

sein muss. Problematisch ist jedoch dabei die Auswahl der Vorschriften, 

bei denen die Verstöße geahndet werden können. 

Fast ausnahmslos werden lediglich Verstöße gegen die Unterrichtungspflichten 

sanktioniert. Der Entwurf enthält insoweit 

schwerwiegende Wertungswidersprüche. 

Nur ein Beispiel zur Veranschaulichung sei hier gebracht: Die 

heimliche Überwachung nach § 32e dürfte regelmäßig schwerwiegende 

Eingriffe in die Persönlichkeitsrechte bedeuten. Nach 

§ 43 Abs. 1 Nr. 7c) BDSG-E sollen jedoch nur Verstöße gegen 

§ 32e Abs. 5 Satz 5 BDSG-E geahndet werden können, also die 

fehlende nachträgliche Unterrichtung. Diese Sanktion ist begründbar, 

weil nur mit der Unterrichtung die betroffenen Beschäftigten 

in die Lage versetzt werden, die Rechtmäßigkeit der 

Maßnahme zu überprüfen. Nicht nachvollziehbar ist demgegenüber, 

dass die viel gewichtigeren Beeinträchtigungen durch 

eine rechtswidrige heimliche Überwachung (also Verstöße gegen 

§ 32e Abs. 1 bzw. Abs. 2–4) oder Verstöße gegen die 

Löschpflichten (Verstoß gegen § 32e Abs. 6) nach dem Entwurf 

völlig ungeahndet bleiben. Dies gilt für sämtliche Verarbeitungsverstöße, 

die nach altem Recht als Verstöße gegen 

§ 28 oder § 29 BDSG nach Maßgabe des § 43 Abs. 2 BDSG zu 

ahnden waren. 

VI. Fazit 

Im Wesentlichen bildet der Entwurf der Bundesregierung die bestehende 

Rechtslage ab. Teilweise sieht er begrüßenswerte Klarstellungen 

vor. Aus datenschutzrechtlicher Sicht positiv hervorzuheben 

ist das strikte Verbot der heimlichen Videoüberwachung. 

Kritikwürdig sind jedoch die verfassungsrechtlich problematischen 

Vorschriften bezüglich des Zugriffs auf private Daten 

nach dem Abschluss von TK-Verhältnissen in § 32i Abs. 4 Satz 2 

BDSG-E sowie die Einschränkungen des Eingaberechts für Betroffene 

(Whistleblower-Klausel) nach § 32l Abs. 4 BDSG-E. Problematisch 

ist auch der anlasslose Massendatenabgleich i.R.v. 

Screenings. Aus datenschutzrechtlicher Sicht gänzlich inakzeptabel 

ist die Ausgestaltung der Bußgeldvorschriften, die krasse 

Wertungswidersprüche enthält. Auffällig ist auch der Umstand, 

dass der Entwurf der Bundesregierung bestimmte Regelungsvorschläge 

von Vorentwürfen nicht mehr aufgreift. 

Als Fazit ist festzuhalten, dass die Bundesregierung (nur) einige 

Schritte zu einer „guten“ Regelung des Beschäftigtendatenschutzes 

gegangen ist. Weitere Schritte wären erforderlich. Es 

ist zu hoffen, dass der Gesetzgeber den noch nicht zurückgelegten 

Weg zum Ziel beschreitet. 

Prof. Dr. Marie-Theres Tinnefeld 

ist Professorin für Datenschutz und Wirtschaftsrecht an 

der Hochschule München. 

Dr. Thomas Petri 

ist Bayerischer Landesbeauftragter für den Datenschutz. 

Dr. Stefan Brink 

ist Leiter Privater Datenschutz beim Landesbeauftragten 

für den Datenschutz Rheinland-Pfalz. 

59

60 

tipps & tricks Datenschutzbeauftragter 

Gemeinsam handeln! 

Zur Zusammenarbeit von 

Datenschutzbeauftragtem und Betriebsrat 

Auch wenn der betriebliche Datenschutzbeauftragte und der Betriebsrat unterschiedliche Aufgaben 

haben, so sollten sie dennoch zusammenarbeiten – zum Wohle der Beschäftigten und des Betriebs. 

Dr. Eberhard Kiesche und Matthias Wilke geben dazu wichtige Informationen und Tipps. 

Eigentlich müssten sie sich gut verstehen 

– der betriebliche Datenschutzbeauftragte 

und der Betriebsrat. 

Denn die immer leistungsfähigeren 

Computer- und Kommunikationssysteme 

sind für beide eine große Herausforderung 

– für den Datenschützer, 

der den Sammeleifer der Arbeitgeberseite 

dämpfen muss, und für die Interessenvertretung, 

die die Kontrollwünsche 

des Arbeitgebers zu beschränken 

hat. 

In der Praxis ist eine Zusammenarbeit 

allerdings kaum üblich. Warum eigentlich? 

Beide, Datenschützer wie Betriebsrat, 

haben Interessen, die sie 

manchmal besser gemeinsam als auf 

getrennten Wegen verwirklichen können. 

Außerdem teilen sie ein gemeinsames 

Schicksal: Sowohl der Datenschutzbeauftragte 

als auch der Betriebsrat 

werden in vielen Unternehmen 

meistens als Kostentreiber betrachtet. 

In Wahrheit sind sie Garanten für den Erfolg 

des Unternehmens. Ein Unternehmen, 

aus dem durchsickert, dass mit 

Dr. Eberhard Kiesche (AoB Bremen) und 

Matthias Wilke (dtb Kassel) beraten zu 

Themen des betrieblichen Datenschutzes 

www.aob-bremen.de, www.dtb-kassel.de 

personenbezogenen Daten Schindluder 

getrieben wird, hat hingegen deutliche 

Einbußen vor allem beim Umsatz und 

beim Image zu befürchten. Das haben 

die bislang bekannt gewordenen Datenschutzskandale 

in aller Deutlichkeit gezeigt. 

Bestellung des Datenschutzbeauftragten 

Der betriebliche Datenschutzbeauftragte 

hat in „nicht-öffentlichen“ Stellen 

(= Betrieben) dafür zu sorgen, dass 

die Bestimmungen des Bundesdatenschutzgesetzes 

(BDSG) umgesetzt und 

eingehalten werden. Er ist sowohl für 

den Kunden- als auch für den Mitarbeiterdatenschutz 

zuständig und neben 

dem Betriebsrat das innerbetriebliche 

Kontrollorgan. Gemeinsam gewährleisten 

sie den Personaldatenschutz. 

Die Bestellung des Datenschutzbeauftragten 

ist in § 4f Abs. 1 BDSG vorgeschrieben. 

Betriebsräte müssen 

nach § 80 Abs. 1 Nr. 1 BetrVG darüber 

wachen, „dass die zugunsten der Arbeitnehmer 

geltenden Gesetze, Verordnungen, 

Unfallverhütungsvorschriften, 

Tarifverträge und Betriebsvereinbarungen 

durchgeführt werden“. Dazu zählen 

auch das Bundesdatenschutzgesetz 

und Betriebsvereinbarungen zu IT-Systemen. 

Der Betriebsrat muss deshalb 

prüfen, ob ein betrieblicher Datenschutzbeauftragter 

zu bestellen ist. Immer 

dann, wenn mehr als neun Personen 

mit der automatisierten Erhebung, 

Verarbeitung oder Nutzung von personenbezogenen 

Daten beschäftigt sind, 

muss ein solcher bestellt werden – und 

zwar spätestens einen Monat nach Aufnahme 

der Tätigkeit. 

Mitbestimmung des Betriebsrats 

Der Gesetzgeber hat im Betriebsverfassungsgesetz 

bislang kein generelles 

Mitbestimmungsrecht des Betriebsrats 

bei der Bestellung des betrieblichen 

Datenschutzbeauftragten verankert. 

Das jeweilige Unternehmen entscheidet, 

ob ein hauptamtlicher, nebenamtlicher 

oder externer Datenschützer bestellt 

werden soll. In allen Fällen hat 

der Betriebsrat kein Mitbestimmungsrecht. 

Der Betriebsrat kann lediglich im 

Rahmen des § 99 BetrVG über die Einstellung 

sowie über die Versetzung eines 

betrieblichen Datenschutzbeauftragten 

mitentscheiden. 

Bei leitenden Angestellten muss im 

Hinblick auf die Mitbestimmungsrechte 

des Betriebsrats zwischen der Tätigkeit 

als betrieblicher Datenschutzbeauftragter 

und der bisherigen Aufgabe im 

Betrieb unterschieden werden. Bei der 

Tätigkeit des leitenden Angestellten als 

Datenschutzbeauftragter kann der Betriebsrat 

mitbestimmen. Dessen Rechte 

werden nicht durch §§ 5, 105 BetrVG 

eingeschränkt. Datenschutzbeauftragte 

sind nämlich keine leitenden 

Angestellten im Sinne des Betriebsverfassungsgesetzes. 

Das Mitbestimmungsrecht des Betriebsrats 

nach § 99 BetrVG ist als ein 

Zustimmungsverweigerungsrecht ausgestaltet. 

Falls bei der Bestellung des 

Datenschutzbeauftragten gegen das 

Bundesdatenschutzgesetz verstoßen 

wird, kann der Betriebsrat seine Zu

stimmung unter Verweis auf den Gesetzesverstoß 

versagen (vgl. § 99 Abs. 2 

Nr. 1 BetrVG). Dies kann etwa dann der 

Fall sein, wenn der zu bestellende Datenschutzbeauftragte 

nicht die Anforderungen 

bezüglich seiner Zuverlässigkeit 

und/oder der erforderlichen Fachkunde 

erfüllt. 

Anforderungen an den 

Datenschutzbeauftragten 

Zum betrieblichen Datenschutzbeauftragten 

darf nur bestellt werden, wer 

die erforderliche Fachkunde und Zuverlässigkeit 

aufweist. Bei der Bestellung 

muss beides vorhanden sein. 

> Die Fachkunde umfasst Fachkenntnisse 

rechtlicher, organisatorischer und 

technischer Art. 

> Die Zuverlässigkeit ist dann nicht gegeben, 

wenn es zu Interessenkollisionen 

kommt. Leiter der Abteilung 

Recht, Marketing, Personal, Revision 

sowie Vertrieb dürfen nicht Datenschutzbeauftragte 

werden, da sie sich 

selbst kontrollieren müssten und somit 

unweigerlich Interessenkonflikte 

entstehen würden. Auch Mitarbeiter 

dieser Abteilungen dürfen nicht zum 

Datenschutzbeauftragten ernannt 

werden. 

Der Betriebsrat kann bei Zweifeln an 

der Zulässigkeit der Person die Aufsichtsbehörde 

gemäß § 38 Abs. 1 

BDSG einschalten und die Abberufung 

des Datenschutzbeauftragten beantragen. 

Er kann ferner zu jeder Zeit die 

Notwendigkeit der Bestellung eines Datenschutzbeauftragten 

durch die zuständige 

Aufsichtsbehörde überprüfen 

lassen. 

Stellung des Datenschutzbeauftragten 

Der betriebliche Datenschutzbeauftragte 

darf nicht wegen seiner Funktion 

und seiner Tätigkeiten im Datenschutz 

benachteiligt werden (vgl. § 4f Abs. 3 

Satz 3 BDSG). Ob seine Bestellung befristet 

werden darf, ist umstritten. Allenfalls 

kommt eine Befristung von mindestens 

fünf Jahren in Betracht, da eine 

kürzere Befristung seine Position im 

Betrieb schwächen würde. 

In der betrieblichen Praxis ist der Datenschutzbeauftragte 

nicht wirklich unabhängig, 

obwohl ihm das Bundesdatenschutzgesetz 

eine Weisungsungebundenheit 

hinsichtlich der Beurteilung 

datenschutzrechtlicher Fragen zugesteht. 

Er ist dem Leiter der nicht-öffentlichen 

Stelle (= Betrieb) unmittelbar zu 

unterstellen. Die teilweise verbreitete 

Unsitte, den bzw. einen Geschäftsführer 

als Datenschutzbeauftragten zu bestellen, 

verstößt gegen das Bundesdatenschutzgesetz. 

Der Datenschutzbeauftragte hat eine 

reine Beratungsfunktion. Denn für die Einhaltung 

des Bundesdatenschutzgesetzes 

ist grundsätzlich das Unternehmen die 

verantwortliche Stelle. Er besitzt daher 

weder Entscheidungs- noch Anordnungsbefugnisse 

gegenüber den Beschäftigten. 

Zu seinem Schutz kann seine Abberufung 

nur aus wichtigem Grund entsprechend § 

626 BGB bzw. im Rahmen des § 38 Abs. 

5 Satz 3 BDSG auf Verlangen der Aufsichtsbehörde 

hin erfolgen. 

Seit 2009 hat der betriebliche Datenschutzbeauftragte 

einen mit dem Abberufungsschutz 

verbundenen Kündi- 

Datenschutzbeauftragter tipps & trick 

Es ist sinnvoll, 

den betrieblichen 

Datenschutzbeauftragten 

für eine langfristige 

Zusammenarbeit mit 

dem Betriebsrat zu 

gewinnen. 

gungsschutz, der ein Jahr nachwir 

(vgl. § 4f Abs. 3 Sätze 5 und 6 BDSG 

Eine ordentliche Kündigung ist dam 

ausgeschlossen. Zusätzlich hat der b 

triebliche Datenschutzbeauftragte e 

nen Fortbildungsanspruch, der ähnlic 

ausgestaltet ist wie der Schulungsa 

spruch des Betriebsrats nach § 37 Ab 

6 BetrVG (vgl. § 4f Abs. 3 Satz 

BDSG). Zudem ist er von der veran 

wortlichen Stelle (= Unternehmensle 

tung) mit der erforderlichen persone 

len und sachlichen Infrastruktur ausz 

statten. 

Bei dem externen Datenschutzbeau 

tragten ist ebenfalls der Abberufung 

schutz nach § 4f Abs. 3 Satz 4 BDS 

gegeben. Ohne dass ein wichtig 

Grund nach § 626 BGB vorliegt, kan 

der zugrundeliegende Geschäftsbeso 

gungsvertrag nicht gekündigt werden 

Aufgaben des Datenschutzbeauftragten 

Der Datenschutzbeauftragte hat d 

Aufgabe, auf die Einhaltung der Date 

schutzbestimmungen im Betrieb „hi 

zuwirken“ (vgl. § 4g Abs. 1 Satz 

BDSG). Damit sind selbstverständlic 

auch Datenschutzregelungen in B 

triebsvereinbarungen gemeint. Zusät 

lich überwacht er die ordnungsgemäß 

Anwendung der Datenverarbeitung 

programme und schult bzw. informie 

alle an der Datenverarbeitung beteili 

ten Personen über die Ziele und A 

sichten des Datenschutzes. Er ist b 

der Neueinführung und bei der Änd 

rung bestehender Datenverarbeitung 

verfahren zu beteiligen. 

61

62 

tipps & tricks Datenschutzbeauftragter 

Bei der Planung der Schulungsaktivitäten 

hat der Datenschutzbeauftragte die 

Mitbestimmungsrechte des Betriebsrats 

gemäß § 98 BetrVG zu beachten, 

da die Vermittlung von Datenschutzkenntnissen 

zu den sonstigen Bildungsmaßnahmen 

zählt. 

Die verantwortliche Stelle hat dem 

Datenschutzbeauftragten ein internes 

Verzeichnis über Verfahren der Datenverarbeitung 

zur Verfügung zu stellen 

(vgl. §§ 4e, 4g Abs. 2 Satz 1 BDSG), 

das wichtige Informationen auch für 

den Betriebsrat enthält. Der Datenschutzbeauftragte 

hat diese Angaben 

auf Anforderung öffentlich zu machen, 

auch Außenstehenden gegenüber (Jedermann-Verzeichnis). 

Eine besonders wichtige Aufgabe des 

Datenschutzbeauftragten ist die Vorabkontrolle 

nach § 4d Abs. 5 und 6 BDSG, 

wenn mit der Datenverarbeitung besondere 

Risiken für die Beschäftigten 

verbunden sind. Bei sensiblen Daten 

(z.B. Gesundheitsdaten) gemäß § 3 

Abs. 9 BDSG ist diese Prüfung immer 

vor dem Beginn der Verarbeitung 

durchzuführen. 

Kooperation zwischen Betriebsrat 

und Datenschutzbeauftragtem 

Ohne einen ständigen Austausch mit 

dem Betriebsrat kann der Datenschutzbeauftragte 

kaum seine Aufgaben er- 

Tipps für die Betriebsratsarbeit 

füllen. Er benötigt den Betriebsrat, wie 

auch der Betriebsrat den Datenschutzbeauftragten 

braucht, um unzulässige 

Überschreitungen des informationellen 

Selbstbestimmungsrechts der Beschäftigten 

in kollektiven Regelungen erkennen 

zu können. Die Umsetzung des 

Bundesdatenschutzgesetzes im Betrieb 

erfordert, dass der Datenschutzbeauftragte 

mit dem Betriebsrat in allen Fragen 

des Personaldatenschutzes zusammenarbeitet. 

Da der betriebliche Datenschutzbeauftragte 

seine Tätigkeit der Aufsichtsbehörde 

gegenüber nachweisen muss, 

mithin ein betrieblicher Rechenschaftsbericht 

existieren sollte, bietet es sich 

an, diesen auch dem Betriebsrat zu erläutern 

– zumal Letzterer darauf einen 

Anspruch hat. 

§ 4g BDSG führt zu einer doppelten 

Kontrolle im Beschäftigtendatenschutz. 

Von daher ist eindeutig von einer Verpflichtung 

des Datenschutzbeauftragten 

auszugehen, den Betriebsrat jederzeit 

bei der Kontrolle des Beschäftigtendatenschutzes 

zu unterstützen. 

Gerade in größeren Unternehmen 

kommt es durchaus vor, dass der Datenschutzbeauftragte 

der interne Sachverständige 

nach § 80 Abs. 3 BetrVG 

bzw. die Auskunftsperson gemäß § 80 

Abs. 2 Satz 3 BetrVG ist. Dies bietet 

sich jedoch nur dann an, wenn er über 

entsprechende Qualifikationen verfügt, 

> Überprüfen Sie, ob der betriebliche Datenschutzbeauftragte ordnungsgemäß 

bestellt worden ist: Erfüllt er die Anforderungen (Fachkunde und 

Zuverlässigkeit) und ist er nicht Leiter der Abteilung Recht, Personal, Marketing, 

Revision, IT oder Vertrieb? 

> Fragen Sie beim betrieblichen Datenschutzbeauftragten nach, ob die 

verantwortliche Stelle ihm Übersichten über automatisierte Verfahren 

gemäß § 4g Abs. 2 Satz 1 BDSG überlassen hat, und fordern Sie regelmäßig 

die internen Verfahrensverzeichnisse für sämtliche Datenverarbeitungsverfahren 

an. 

> Verlangen Sie bei neuen IT-Systemen grundsätzlich die Zulässigkeitsprüfung 

durch den betrieblichen Datenschutzbeauftragten. Vereinbaren 

Sie in einer IT-Rahmenbetriebsvereinbarung die Vorlage einer Zulässigkeitsprüfung 

und einer gegebenenfalls erforderlichen Vorabkontrolle an 

den Betriebsrat. 

> Laden Sie den betrieblichen Datenschutzbeauftragten regelmäßig in die 

Betriebsratssitzung ein. Diskutieren Sie mit ihm Fragen des Beschäftigtendatenschutzes 

und fordern Sie bei neuen Verfahrenseinführungen und 

IT-Betriebsvereinbarungen eine intensive Beratung ein. 

nicht lediglich eine „Alibifunktion“ hat 

und der Betriebsrat bereits besonderes 

Vertrauen zu ihm entwickeln konnte. 

Der Datenschutzbeauftragte darf 

den Betriebsrat nicht kontrollieren. 

Dieses Verbot gilt so lange, wie kein 

echtes Mitbestimmungsrecht bei der 

Bestellung des betrieblichen Datenschutzbeauftragten 

gegeben ist. Dies 

hat das Bundesarbeitsgericht bereits 

im Jahr 1998 (vgl. Beschluss vom 

11.11.1997 – 1 ABR 21/97) so entschieden 

– und damit die Kooperationsbereitschaft 

auf Seiten der Datenschutzbeauftragten 

nicht unbedingt erhöht. 

Die Einhaltung der Vorschriften 

des Bundesdatenschutzgesetzes muss 

der Betriebsrat selbst in einer Art freiwilligen 

Selbstkontrolle gewährleisten. 

Hierzu ist er verpflichtet (siehe auch: 

Bundesarbeitsgericht vom 12.08.2009, 

dbr 4/2010, Seite 37). 

Kontrolle durch den Betriebsrat 

ist unerlässlich 

Der Betriebsrat muss überwachen, inwieweit 

der betriebliche Datenschutzbeauftragte 

rechtmäßig bestellt ist, 

die erforderliche Fachkunde aufweist 

und seinen Aufgaben gemäß § 4g 

BDSG ordnungsgemäß nachkommt. 

Gleichwohl gibt es kein Kontrollmonopol 

für den Beschäftigtendatenschutz 

(vgl. § 32 BDSG), weder beim Betriebsrat 

noch beim Datenschutzbeauftragten. 

Deshalb ist es sinnvoll, 

den betrieblichen Datenschutzbeauftragten 

für eine langfristige Zusammenarbeit 

mit dem Betriebsrat zu gewinnen. 

Dabei sollten alle gesetzlichen 

und informellen Möglichkeiten 

der Zusammenarbeit und gegenseitigen 

Information genutzt werden. Allerdings 

sollte sorgfältig darauf geachtet 

werden, dass die jeweilige Unabhängigkeit 

nicht gefährdet wird. 

Angesichts der oft vorhandenen Mängel 

in der Praxis der betrieblichen Datenschützer 

und der unzulänglichen 

Personalausstattung bei den Aufsichtsbehörden 

für die Kontrolle der Betriebe 

sollte der Betriebsrat wissen: Beim Beschäftigtendatenschutz 

kommt es vor 

allem auf die Kontrolle durch die Arbeitnehmervertretung 

an. Der Datenschutzbeauftragte 

kann dem Arbeitgeber nur 

empfehlen, bestimmte Maßnahmen 

vorzunehmen oder zu unterlassen. Nur 

der Betriebsrat hat die Möglichkeit, 

den Beschäftigtendatenschutz notfalls 

mithilfe der Arbeitsgerichte umzusetzen.■■

TECHNIK + MITBESTIMMUNG 

SAP-Vereinbarungen am 

System überprüfen 

Matthias Wilke / Eberhard Kiesche 

HIER LESEN SIE : 

� wie praxisbezogene Voraussetzungen, Methoden und Vorgehensweisen für die Überwachung 

von SAP-Vereinbarungen am System aussehen können 

� warum beim Erstellen von Betriebs- und Dienstvereinbarungen auch das SAP-Prüfkonzept 

bedacht werden muss 

SAP wird im Betrieb eingeführt. Belegschaftsvertretungen lassen sich schulen und stellen Forderungen an den 

SAP-Einsatz auf. Irgendwann ist der Entwurf einer SAP-Vereinbarung erstellt, langwierig mit dem Arbeitgeber 

verhandelt und tritt endlich in Kraft. Aber: Damit fängt die Arbeit der Betriebs- und Personalräte eigentlich erst 

an. Die Vereinbarung legt nämlich in der Regel auch fest, dass sie am System prüfen können, ob die enthaltenen 

Bestimmungen vom Arbeitgeber auch eingehalten werden – was sich oft als problematisch herausstellt. Im 

Folgenden werden deshalb praxisbezogene Überlegungen zu den Voraussetzungen, Methoden und Vorgehensweisen 

für die Überwachung von SAP-Vereinbarungen am System dargestellt. 

Schon vor Längerem wurde festgestellt, 

dass Betriebs- und Dienstvereinbarungen 

unsystematisch oder oftmals überhaupt 

nicht kontrolliert werden. 1 Es gibt zwar mittlerweile 

eine Fülle von praktischen Hinweisen2 

und Materialien3 zur Mitbestimmung 

und Überprüfung des SAP-Systems, dennoch 

werden SAP-Vereinbarungen in der 

Regel vor allem abgelegt. Auch der betriebliche 

Datenschutzbeauftragte (bDSB) muss 

sich häufig darauf verlassen, dass schon 

alles in Ordnung sein wird. Spätestens bei 

Datenpannen auch bei der Anwendung 

von � SAP ERP stellt sich dann mit Macht 

die Frage, wie eine solche Prüfung am System 

vorzunehmen ist. 4 

Das Problem ist nicht neu: Änderungen 

im System werden nicht eingepflegt, die 

Anlagen zu Datenkatalogen, Auswertungen, 

Schnittstellen und Zugriffsberechtigungen 

werden nicht mehr mitbestimmt und 

fortgeschrieben. Wesentliche Änderungen 

an den Funktionen und dem vereinbarten 

Umfang des ERP-Systems „schleichen“ sich 

auf lange Sicht ein. Dadurch kommt es zur 

Mitbestimmungspanne. Der eigentliche 

Zweck der Vereinbarung, nämlich den Einzelnen 

davor zu schützen, dass er durch den 

Umgang mit seinen personenbezogenen 

Daten in seinem Persönlichkeitsrecht beeinträchtigt 

wird, ist dann verfehlt. 

Wie kann also die Einhaltung von detaillierten 

IT-Vereinbarungen überhaupt überwacht 

werden? 5 

Dies ist für den jeweiligen Betriebs- und 

Personalrat keine leichte Aufgabe, denn er 

muss stets aufs Neue überprüfen, ob die 

enthaltenen Regelungen noch aktuell sind 

und die Anlagen das eingesetzte SAP-System 

noch richtig abbilden. 

Interessenvertretungen müssen effizient 

und effektiv am SAP-System prüfen können. 

Hierfür brauchen sie gewisse Ressourcen, 

die ihnen vom Arbeitgeber zur Verfügung 

zu stellen sind. Außerdem benötigen sie 

ausreichend Zeit und gezieltes Know-how 

zu SAP ERP, Kontrollkonzepten und Berechtigungen/Rollen. 

Kontrollmöglichkeiten 

am SAP-System 

Betriebsräte haben nach § 80 Abs. 1 Nr. 1 

BetrVG das Recht und die Pflicht zu überwachen, 

ob sämtliche zugunsten der Beschäftigten 

geltenden Gesetze, Tarifverträge 

und Betriebsvereinbarungen eingehalten 

werden. 

Daraus leitet sich das Recht auf jederzeitige 

anlassunabhängige Kontrolle von SAP- 

Systemen ab – auch ohne Betriebsvereinbarung. 

Der Arbeitgeber ist verpflichtet, den 

Betriebsrat bei diesen Kontrollen nach allen 

Kräften zu unterstützen. Bei einer Kontrolle 

am System kann sich im Einzelfall eine Kooperation 

mit dem internen bDSB anbieten. 

Außerdem können hierfür auch externe 

Sachverständige nach § 80 Abs. 3 BetrVG 

hinzugezogen werden. 6 Der Betriebsrat hat 

überdies ein Einsichtsrecht in alle bestehenden 

Dateien, unter Umständen auch in solche, 

in denen personenbezogene Daten der 

Beschäftigten gespeichert sind. 

63

Belegschaftsvertretungen können die 

Einführung und die Anwendung von ERP 

nach § 87 Abs. 1 Nr. 6 BetrVG und § 75 Abs. 3 

Nr. 17 BPersVG in allen Einzelheiten mitbestimmen. 

Schließlich ist SAP ERP und insbesondere 

die Personalkomponente HR eine 

technische Überwachungseinrichtung, die 

sich zu Leistungs- und Verhaltenskontrollen 

objektiv eignet. 

Eine Betriebs- bzw. Dienstvereinbarung 

zu SAP ERP ist erzwingbar. Außerdem ist sie 

eine andere Rechtsvorschrift, die die Erhebung, 

Verarbeitung und Nutzung von personenbezogenen 

Daten der Beschäftigten 

erlaubt. Dabei dürfen selbstverständlich die 

Bestimmungen des Bundesdatenschutzgesetzes 

(BDSG) nicht unterschritten werden. 

Die SAP-Betriebsvereinbarung 

Werden im Unternehmen von SAP ERP mehrere 

Komponenten wie z. B. Rechnungswesen 

und Personal eingesetzt, bietet sich 

oftmals der Abschluss einer Rahmenvereinbarung 

an. Darin lassen sich grundsätzliche 

Themen wie z. B. Datenschutz, Ausschluss 

von Leistungs- und Verhaltenskontrollen, 

Gesundheitsschutz am Bildschirmarbeitsplatz 

und Qualifizierung regeln, so dass in 

den dann notfalls erforderlichen Einzelvereinbarungen 

nicht wieder alles aufs 

Neue geregelt werden muss. Oftmals wird 

aber auch nur eine Einzelvereinbarung 

zu SAP ERP HR abgeschlossen und auf die 

Regelung weiterer SAP-Komponenten und 

Lösungen verzichtet. Sowohl in einer Rahmen- 

als auch in einer Einzelvereinbarung 

64 

sollten Grundlagen für eine spätere Kontrolle 

durch die Interessenvertretung gelegt 

werden. Die Vereinbarung ist klar und 

systematisch zu strukturieren. 7 Es muss eindeutig 

geregelt sein, welche Komponenten 

und Lösungen von SAP ERP im eigenen Unternehmen 

zum Zeitpunkt des Abschlusses 

der Vereinbarung eingesetzt werden. Der 

exakte Release stand bzw. die Komponentenversion 

von SAP ERP zum Zeitpunkt des 

Abschlusses der Vereinbarung muss ebenfalls 

bezeichnet werden, damit Versionswechsel 

deutlich erkennbar und frühzeitig 

mitbestimmt werden können. 

Außerdem ist zu dokumentieren, welche 

SAP-Systeme auf welcher Hardware wo 

eingesetzt werden, damit auf Dauer nachhaltig 

kontrolliert werden kann. Auf eine 

ausreichende Systemdokumentation (z. B. 

Serververbund, Konfigurationsübersicht) 

kann keinesfalls verzichtet werden. 

Vereinbarung muss alle SAP-Systeme 

erfassen 

Die jeweilige Systemlandschaft im Unternehmen 

ist abzubilden, so sind z. B. immer 

Entwicklungs-, Test-, Qualitäts- und Produktivsysteme 

zu dokumentieren. In großen 

Unternehmen können z. B. 50 SAP-Systeme 

und mehr genutzt werden. Auch zum Test- 

oder Entwicklungssystem sind erforderliche 

Bestimmungen in der Vereinbarung dann 

aufzunehmen, wenn dort personenbezogene 

Daten der Beschäftigten verarbeitet 

werden. Im Entwicklungssystem arbeiten 

in der Regel externe Berater, die Einblick 


in personenbezogene Daten der Beschäftigten 

erhalten, wenn dort zu Test- oder 

Entwicklungszwecken diese Daten genutzt 

werden. 

Es sollte von daher festgelegt werden, 

welche Systeme mit welchen � Mandanten 

insgesamt vom Unternehmen genutzt 

werden. Auch der Mandant auf einem SAP- 

Testsystem kann als Prüfbereich für eine 

Kontrolle durch die Arbeitnehmervertretung 

durchaus interessant sein. 

Mit Positivkatalogen arbeiten 

Die SAP-Vereinbarung insgesamt muss eindeutig 

dokumentieren, was erlaubt ist. 

Es muss stets mit Positivkatalogen (� Infotypen 

mit Datenfeldern und Zweckbestimmungen, 

Auswertungen, Berechtigungen, 

Schnittstellen, Aufbewahrungsfristen, 

Screenshots usw.) gearbeitet werden, die 

das Zulässige klar beschreiben. Nur so können 

die schier unendlichen Nutzungsmöglichkeiten 

von SAP ERP etwas eingegrenzt 

werden. 

Nicht genutzte Datenfelder und Subtypen 

in den Infotypen (SAP HR) müssen 

ausgeblendet werden. Alle Regeln zur Erhebung, 

Verarbeitung und Nutzung von personenbezogenen 


müssen zudem bereits in der Vereinbarung 

eindeutig auf Einhaltung überprüfbar formuliert 

sein. Alle Einstellungen und Verfahren 

in den SAP-Systemen müssen nachvollziehbar 

dokumentiert sein. Freie Textfelder 

sind zu untersagen bzw. für Suchfunktionen 

zu sperren.


PRÜFFRAGEN IM BEREICH DES BERECHTIGUNGSKONZEPTS 

� Welche Rollen gibt es? 

� Wie und warum werden die Berechtigungen vergeben? 

� Wer hat welche Berechtigungen, die auf besonders schutzwürdige sensible 

Infotypen (z.B. § 3 Abs. 9 BDSG) und Datenfelder zugreifen? 

� Welche Rolle hat besonders viele Transaktionen zugeordnet bekommen und 

wer hat diese Rolle? 

� Gibt es Rollen, die vollumfänglich auf HR-Daten und Tabellen zugreifen dürfen? Wer 

darf nur lesen oder auch ändern? 

� Welche Rollen dürfen SAP-Auswertungen ausführen und warum? 

� Wer darf Reporting-Werkzeuge für welche Zwecke nutzen? 

� Welche Protokollierungen sind eingeschaltet? 

� Wird dazu die Zweckbindung nach § 31 BDSG eingehalten? 

� Wer darf Berechtigungsrollen ändern? 

VERSION UND KOMPONENTEN VON SAP PRÜFEN 

� Prüfhandlung im Menü: � System � Status � Komponentenversion 

� Erläuterung: Überprüfen der Versionen von SAP ERP und der eingesetzten 

Komponenten 

ABBILDUNG DES UNTERNEHMENS IN SAP MIT BERECHTIGUNGEN 

T000 vorhandene Mandanten 

TSYT vorhandene miteinander verbundene SAP-Systeme 

T001 Liste der Buchungskreise pro System 

T001P Liste der Personalbereiche (Mandant, Personalbereich, Personal-Teilbereich) 

T500P Liste Mandant / Personalbereich / Land / Buchungskreis 

SAP Business Workflows 

beachten 

Betriebs- und Personalräte sollten möglichst 

den Einsatz von Workflows in SAP 

ERP regeln. Workflows strukturieren und 

automatisieren arbeitsteilige und betriebswirtschaftliche 

Abläufe, dies wird oftmals 

vergessen. Workflows können betriebliche 

Eskalationsprozeduren enthalten und dann 

bei Konflikten auch für Leistungs- und Verhaltenskontrollen 

genutzt werden. 

Auch solche Workflows sind nach § 87 

Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig. 

Grundsätzlich zu verhindern sind sie 

nicht. Aber sie können in ihren Auswirkungen 

begrenzt werden. Arbeitsrechtliche 

Maßnahmen aufgrund der Auswertung von 

Workflow-Abläufen sind unzulässig, entsprechende 

Informationen dürfen nicht für 

arbeitsrechtliche Maßnahmen verwendet 

werden. 

Berechtigungskonzept 

als Projekt 

Das Berechtigungskonzept sollte detailliert 

und entsprechend nachvollziehbar ausgearbeitet 

werden (siehe Kasten ganz oben). 

SAP veröffentlicht dazu entsprechende 

Datenschutz- und Sicherheitsleitfäden, die 

den technisch-organisatorischen Rahmen 

für ein Berechtigungskonzept bilden. 

Die Umsetzung obliegt in der Regel den 

beauftragten Mitarbeitern im Unternehmen 

und den Beratern im Projekt. Ohne entsprechende 

Arbeiten kann kein vernünftiges 

Berechtigungskonzept erstellt und den datenschutzrechtlichen 

Anforderungen entsprochen 

werden. 8 

Kontrolle setzt Zugang zum 

System voraus 

Betriebspolitisch muss ein Zugang zum 

System für ausgewählte Mitglieder des Be- 

triebs- bzw. Personalrats durchgesetzt und 

vereinbart werden. Hierfür ist die erforderliche 

Informationstechnik zur Verfügung 

zu stellen. Die zuständige Vertretung muss 

einen SAP-Benutzer und eine Kennung für 

den Zugang zu den SAP-Systemen mit seinen 

Mandanten erhalten. Dazu benötigt 

sie ein � SAP GUI. Für die Durchführung 

der Prüfungen benötigt sie auch entsprechende 

Zugriffsrechte pro System/Mandant. 

Diese können ihr über Prüf-Rollen, z. B. 

Auditor-Rollen zum Datenschutz, zugewiesen 

werden. 

In diesem Zusammenhang stellt sich 

zusätzlich die Frage, ob der Betriebs-/Personalrat 

für die Überprüfung von SAP-Vereinbarungen 

am System das Audit Information 

System (AIS) nutzen oder eine SAP-Prüfsoftware 

einsetzen sollte. 

Das SAP-Prüfkonzept 

Auf das AIS sollte eigentlich nicht mehr gesetzt 

werden, da SAP ab R/3 Version 4.6 c 

das AIS in seiner bisherigen Form nicht mehr 

pflegt und entsprechende Prüfhandlungen 

in menübasierte Auditor-Rollen (Transaktions- 

und Berechtigungsrollen) zusammengefasst 

sind. 9 Die Standard-Auditor-Rollen 

müssen immer an die betrieblichen Strukturen 

angepasst werden. Eine Mitarbeitervertretung 

ist oft nicht in der Lage, mit dem AIS 

so zu arbeiten, dass sie damit noch sinnvolle 

Kontrollen durchführen könnte. Prüfungen 

können und müssen inzwischen auch ohne 

AIS durchgeführt werden (siehe die Kästen 

2 und 3 links). 

SAP-Prüfsoftware 

unerlässlich? 10 

Inzwischen existiert eine ganze Reihe automatisierter 

Prüftools für SAP ERP, so z. B. 

Auditor, mesaforte, SAST oder CheckAud. 

Eine Prüfung mit einem dieser Prüftools ist 

aufwendig und setzt zudem viele SAP-Vorkenntnisse 

voraus. Die Prüfung folgt zudem 

oftmals internen Regeln, die immer erst auf 

den eigenen betrieblichen Bedarf anzupassen 

sind und läuft dann weitgehend automatisiert 

ab. 

Die Prüfsoftware zu SAP dient nach unserer 

Ansicht nicht primär der Unterstützung 

des Betriebs-/Personalrats im Sinne 

von „Hilfe zur Selbsthilfe“ und vereinfacht 

nicht zwingend die Prüfung. Die Regeln, 

65

nach der die Software arbeitet, sind für eine 

Belegschaftsvertretung, die sich nicht jeden 

Tag mit SAP ERP beschäftigt, nur schwierig 

zu enträtseln. Die Prüfregeln müssten dann 

bei einigen Tools auch selbst eingestellt werden. 

Die Frage stellt sich zudem, wie schwer 

oder einfach es ist, im Prüftool hinterlegte 

Prüfregeln zu modifizieren. Der Einsatz von 

SAP-Prüfsoftware erleichtert es nicht unbedingt, 

SAP und die damit ablaufenden Prozesse 

in erster Linie besser zu verstehen und 

nachvollziehen zu können. 

Hinzu kommt, dass in bestimmten Branchen, 

z. B. im Einzelhandel, der Einsatz solcher 

Prüfsoftware oft sehr schwer durchzusetzen 

ist. Unabhängig von deren Einsatz ist 

in jedem Einzelfall ein modulares, anpassbares 

und vom Umfang noch handhabbares 

Prüfkonzept zu entwickeln. Eckpunkte 

eines prozessorientierten Zugangs zu einer 

ständigen und nachhaltigen Kontrolle von 

SAP ERP werden im Folgenden dargestellt. 

Mit einem einfachen Prüfkonzept 

beginnen 

Das betriebsbezogene Prüfkonzept sollte 

mitwachsen. Am Beginn wird sich die Belegschaftsvertretung 

dabei auf das Wesentliche 

konzentrieren und nach jeder Prüfung 

66 

dann das Konzept fortschreiben. Prüfinhalte 

und -strategie verändern sich dann über 

die Jahre hinweg entsprechend der betrieblichen 

Anwendung von SAP ERP. 

Ein solches versionsorientiertes betriebsbezogenes 

Prüfkonzept sollte zudem 

unbedingt von den Vorkenntnissen der 

prüfenden Vertretungen ausgehen und je 

nach betrieblichen Erfordernissen, Grad der 

Gefährdung des Persönlichkeitsrechts, zeitlichen 

Kapazitäten, Größe des Unternehmens 

und Zielsetzungen unterschiedlich 

detailliert ausgestaltet sein. 11 

Schrittweise vorgehen 

Betriebs- und Personalräte sollten nicht den 

Anspruch erheben, alle vereinbarten SAP- 

Einstellungen und -Regelungen sofort in 

einer Kontrollmaßnahme prüfen zu wollen. 

Sie verständigen sich besser zu Beginn 

des Kontrollprozesses darauf, schrittweise 

vorzugehen und zunächst nur ausgewählte 

besonders wichtige Merkmale des Einsatzes 

von SAP ERP zu prüfen. Auch hier gilt: Weniger 

ist bei der Kontrolle von SAP am System 

oft mehr. Es geht im Sinne der Betriebspolitik 

vorrangig darum, Kompetenz zu zeigen. 

Im Betrieb sollten Interessenvertretungen 

also Öffentlichkeit für die Handha- 


bung von SAP ERP schaffen und so insbesondere 

bei der Personal- und IT-Abteilung, 

anderen SAP-Nutzern und beim bDSB 

Aufmerksamkeit für einen datenschutzgerechten 

Einsatz von SAP ERP erzeugen. 

Betriebs-und Personalräte sollten durch die 

Prüfung am System signalisieren, dass sie 

sich um den Einsatz von SAP ERP im Betrieb 

„kümmern“. 

Kontinuierliche Prüfungen 

im Verbund 

Die in SAP integrierte Prüf- 

Software ist nicht in erster 

Linie zur Unterstützung von 

Betriebs- und Personalräten 

gedacht und erleichtert 

deren Prüfungsaufgaben 

deshalb nicht unbedingt … 

Die Kontrolle sollte von Beginn an als ständige 

Aufgabe geplant werden Sie kann 

monatlich, quartalsweise oder halbjährlich 

vorgenommen werden. Zusätzlich sollten 

Belegschaftsvertretungen auf besondere 

Anlässe reagieren. Wenn sie z. B. von Datenschutzpannen 

mit SAP oder von einem 

bevorstehenden Releasewechsel erfahren, 

können sie dies für eine erneute anlassbezogene 

Prüfung nutzen. 

Sie sollten sich Bündnispartner suchen, 

z. B. in der IT-Abteilung, um an alle gewünschten 

Informationen über den SAP- 

Einsatz jederzeit heranzukommen. Häufig 

werden die Kontrollen und der Einblick ins 

System paradoxerweise mit dem Hinweis 

auf den Datenschutz verwehrt. Dies würde


GRUNDSÄTZLICH WICHTIGE PRÜFFRAGEN 

� Welche Systemlandschaften, Mandanten und Buchungskreisläufe und Personalbereiche 

sind eingerichtet? 

� Welche Notfallbenutzer sind im unternehmenseigenen SAP ERP berechtigt? 

Wer hat kritische Berechtigungen wie z. B. SAP* oder SAP_All oder HR-ALL? 

� Welche Systemversion und welche Komponenten werden genutzt? 

Welche Komponenten von HR werden genutzt? 

� Wer startet welche Berichte und Auswertungen (Berechtigungskonzept)? 

� Wer hat die Berechtigung, personenbezogene Daten z. B. aus HR in Office- 

Programme herunterzuladen (Download-Berechtigung)? 

� Welche Infotypen mit personenbezogenen Daten werden in HR genutzt? 

� Welche unternehmenseigenen Transaktionen, Reports und Infotypen werden 

genutzt? Sind diese Reports und Infotypen selbsterklärungsfähig beschrieben und 

ausreichend geschützt? 

� Sind alle Reports aus dem Bereich Personal der entsprechenden Berechtigungsgruppe 

zugewiesen? 

� Ist für das Aufrufen von Reports die Berechtigungsprüfung eingestellt 

(über Berechtigungsgruppen, über Starttransaktionen) und werden Reportstarts 

protokolliert? 

jedoch den Sinn der Aufgabe, „darüber (zu) 

wachen, dass die zugunsten der Arbeitnehmer 

geltenden Gesetze“ und somit auch 

das BDSG eingehalten werden, völlig auf 

den Kopf stellen. Denn gerade aus dieser 

Überwachungsaufgabe ergibt sich die Notwendigkeit, 

dass die Vertretung Kontrollen 

am SAP-System vornimmt. Sie muss wissen, 

welche personenbezogenen Daten der Arbeitnehmer 

gespeichert werden. 

Das Bundesarbeitsgericht hat dazu festgestellt, 

dass der Arbeitgeber verpflichtet 

ist, umfassend über alle Formen der Verarbeitung 

personenbezogener Daten der 

Arbeitnehmer zu unterrichten; denn der 

Betriebsrat ist nicht Dritter, sondern Teil der 

verantwortlichen Stelle. 12 

Schulung für Kontrolle am 

SAP-System erforderlich 

Für eine informierte Prüfung am System 

benötigen Interessenvertretungen Grundlagenwissen 

über SAP ERP, das heißt ein 

grundlegendes Verständnis von SAP-Lösungen 

und -Komponenten, Systemumgebung, 

Navigation und Hilfefunktionen, 

übergreifende Business-Szenarien, Grundlagen 

der Personalwirtschaft und natürlich 

auch vom Berechtigungskonzept und von 

Datenschutzvorkehrungen. 

Die Bedeutung und Funktionsweisen einzelner 

SAP-Produkte wie z. B. SAP Business 

Information Warehouse oder SAP NetWeaver 

müssen klar sein. 

Auch mit Blick auf das selbst erstellte 

Prüfkonzept sollten sie die Begrifflichkeiten 

von SAP ERP nachvollziehen können. Allein 

mit der Kenntnis der Begriffe aus dem SAP- 

Umfeld kann man sich als Belegschaftsvertretung 

bereits Respekt und Wissensvorsprung 

verschaffen. 

Nicht nur am System prüfen 

Betriebs-/Personalräte sollten vor einer 

Prüfung am System im ersten Schritt die 

vorliegenden Anlagen zur Vereinbarung in 

Papierform hinzuziehen, entsprechende 

Fragen z. B. zum Datenkatalog oder Schnittstellenverzeichnis 

formulieren und erst danach 

in einem zweiten Schritt eine Überprüfung 

am System vornehmen. 

Wichtige Fragen, die auch an die Anlagen 

einer SAP-Vereinbarung zu stellen sind, 

lassen sich dem SAP-Datenschutzleitfaden 

aus dem Jahr 2008 entnehmen. 13 Dieser ist 

unter Beschäftigtendatenschutzgesichtspunkten 

interessant. Er enthält besonders 

für Fortgeschrittene in der Prüfung von SAP 

am System eine Fülle von Prüfhandlungen 

und -ideen, die nach und nach praktisch je 

nach betrieblichem Bedarf erprobt werden 

können und dies – wo immer möglich – in 

Kooperation mit dem bDSB. 

Prüfgegenstände in einem 

SAP-Prüfkonzept 

Ganz entscheidend ist die Frage, wer was 

mit welchen personenbezogenen Daten 

machen darf. Das Berechtigungskonzept 

regelt genau diese Fragen und ist bereits in 

der entsprechenden Anlage zur SAP-Vereinbarung 

sorgfältig zu analysieren. 

Ein Hinweis dazu: Dem Berechtigungskonzept 

sollte schon in der Phase der Erarbeitung 

einer Betriebs-/Dienstvereinbarung 

eine große Bedeutung zukommen. 

Was einmal vereinbart ist, lässt sich in vielen 

Praxisfällen nur schwer korrigieren. 

Hier bietet es sich an, grundsätzlich das 

Berechtigungskonzept in Form einer Excel- 

Tabelle als Datei zu vereinbaren, damit es 

überhaupt sinnvoll nachvollzogen und 

überprüft werden kann. 

Wenn es Berechtigungsrollen oder -profile 

gibt, die auf sehr viele Transaktionen 

zugreifen dürfen, ist zu überprüfen, welche 

Inhaber bzw. Träger der Berechtigungen 

diese Rollen ausführen können. 

SAP_All ist ein kritisches Berechtigungsprofil. 

Es wird von SAP bereitgestellt und 

erlaubt alle Aktivitäten im System. SAP_ALL 

ist aber keinesfalls die einzige umfängliche 

Berechtigung. Die Anzahl der Benutzer 

mit SAP_ALL sollte auf ein Minimum (zwei 

bis drei Mitarbeiter) reduziert sein. Die Erfahrung 

zeigt, dass IT-Verantwortliche bei 

der Gestaltung von Berechtigungen viel 

Phantasie entwickeln, das Thema SAP_ALL 

zu umgehen und trotzdem sehr umfangreiche 

Berechtigungen für einzelne Nutzer 

entwickeln. 

Die Einhaltung des Prinzips der „geringsten 

Berechtigungen“ kann oftmals schon 

durch einfache Fragen an die verantwortlichen 

Personen im Unternehmen überprüft 

werden. Ebenso kann der interne Prozess 

der Berechtigungsvergabe grafisch veranschaulicht 

und nachgeprüft werden (Einhaltung 

des Vier-Augen-Prinzips). 

Elemente des Prüfkonzeptes und 

Durchführung der Prüfung 

Das betriebsspezifische Prüfkonzept ist 

so anzulegen, dass der Betriebsrat mit der 

67

Eingabe von Kurzbefehlen (Transaktionen, 

Tabellenaufrufe) die entsprechenden Funktionen 

von SAP ERP aufrufen kann. 

Das betriebliche SAP-Prüfkonzept sollte 

zunächst nur die unbedingt erforderlichen 

Transaktionen, Tabellen, Reports und 

Berechtigungen für einen Einstieg in eine 

langfristig angelegte Kontrolle beinhalten, 

am Besten nicht mehr als 20 Prüfhandlungen. 

Vollständigkeit ist dabei ausdrücklich 

nicht anzustreben. 

Vorab sollte eine Schwachstellenanalyse 

durchgeführt werden, die besondere Risiken 

im SAP-ERP-Einsatz aus Arbeitnehmersicht 

identifiziert und anschließend müssen 

Prioritäten im Sinne einer A-B-C-Analyse 

definiert werden. Schwerpunktebereiche 

der Kontrolle sind sicherlich das Berechtigungskonzept, 

Systemeinstellungen und 

die Protokollierung von Administrationstätigkeiten. 

Jede Prüfung ist zu dokumentieren und 

auszuwerten. Neue sich ergebende Fragen 

und Problemfelder sind gegebenenfalls 

mit weiteren Prüfhandlungen zu bearbeiten 

und das Prüfkonzept fortzuschreiben. 

Kooperationsmöglichkeiten mit bDSB, Systemadministratoren 

und IT-Sicherheitsbeauftragten 

sind, wann immer möglich, zu 

nutzen. 

Und noch ein Tipp aus der Praxis: Kontrolliert 

wird im Sinne des Gesetzes der 

„Arbeitgeber“. In der Regel wird für die Kontrollen 

am System, wenn die Belegschaftsvertretung 

keinen eigenen SAP-Zugang 

und keine eigene Rolle hat, die Hilfe der 

Kollegen aus der IT- und Personalabteilung 

benötigt. Es liegt auf der Hand, dass deren 

Auskunftsfreudigkeit sicher nicht gesteigert 

wird, wenn sich diese durch den Betriebs-/ 

Personalrat überwacht fühlen. Meistens 

haben diese Anwender selbst ein Interesse 

daran, dass alles vorschriftsmäßig und 

gesetzeskonform läuft und die geltenden 

Datenschutzregeln eingehalten werden. Es 

ist also etwas Fingerspitzengefühl bei der 

Ankündigung und Durchführung von Kontrollen 

erforderlich. 

Fazit 

Betriebs- und Personalräte können die Einführung 

und die Anwendung von SAP ERP 

mitbestimmen. Schließlich ist SAP ERP und 

68 

insbesondere die Personalkomponente HR 

eine technische Überwachungseinrichtung, 

die sich zu Leistungs- und Verhaltenskontrollen 

objektiv eignet. Die SAP-Betriebs-/ 

Dienstvereinbarung ist eine Rechtsvorschrift, 

die die Erhebung, Verarbeitung und 

Nutzung von personenbezogenen Daten 

der Beschäftigten erlaubt. 

Belegschaftsvertretungen haben zudem 

das Recht zu überwachen, ob sämtliche zugunsten 

der Beschäftigten geltenden Gesetze, 

Tarifverträge und Betriebs- bzw. Dienstvereinbarungen 

eingehalten werden. 

Aus diesem Überwachungsrecht gemäß 

§ 80 Abs. 1 Nr. 1 BetrVG und § 68 Abs. 1 Nr. 

2 BPersVG leitet sich das Recht (und auch 

die Pflicht) ab, jederzeit anlassunabhängig 

zu kontrollieren. Für die Vorbereitung 

und Durchführung der Überprüfung ist 

ein einfaches, modulares, mitwachsendes 

und an der betrieblichen Praxis ausgerichtetes 

Prüfkonzept zu entwickeln. Darüber 

hinaus kann sich im Einzelfall auch eine Kooperation 

mit dem internen bDSB und den 

Kollegen in der IT- und Personalabteilung 

anbieten. Außerdem können hierfür auch 

externe Sachverständige hinzu gezogen 

werden. 14 

Natürlich können nicht alle vereinbarten 

SAP-Einstellungen und -Regelungen sofort 

und auf einen Schlag geprüft werden. Wichtig 

ist, dass der Betriebs- bzw. Personalrat 

mit seiner Prüfung am System signalisiert, 

dass er sich um den Einsatz von SAP ERP im 

Betrieb kümmert, um so bei allen Beteiligten 

ein Bewusstsein für einen datenschutzgerechten 

Umgang mit Personaldaten zu 

entwickeln. Er sollte deshalb von Beginn 

an die SAP-Kontrolle als ständige Aufgabe 

verstehen und die Einhaltung von SAP-Vereinbarungen 

regelmäßig überprüfen. 

Autoren 

Matthias Wilke, Datenschutz- und Technologieberatung 

(dtb), Kassel, info@dtb-kassel.de; Dr. Eberhard 

Kiesche, Arbeitnehmerorientierte Beratung (AoB), 

Bremen, eberhard.kiesche@t-online.de 

Die Autoren danken Dipl.-Ing. (FH) Detlev Sachse (Consultant 

für SAP-Software) für Hinweise und Ratschläge. 

Lexikon: 

Enterprise Resource Planning (ERP) � Sammelbegriff 

für Software-Systeme, die alle für die Unternehmenssteuerung 

wichtigen Datenverarbeitungsfunktionen 

zusammenfassen 

Graphical User Interface (SAP GUI) � Grafische 

Benutzeroberfläche zur Kommunikation mit dem 

SAP-System 


Infotypen � Personaldaten, die in inhaltlich logisch 

zusammengehörigen Gruppen gespeichert werden 

Mandant � Der Mandant ist definiert als für sich 

handelsrechtlich, organisatorisch und datentechnisch 

abgeschlossene Einheit innerhalb eines SAP-Systems. 

Das bedeutet, dass alle betriebswirtschaftlichen Daten 

gegenüber anderen Mandanten geschützt sind; eine 

ausführliche Erklärung der Fachbegriffe findet sich 

unter http://help.sap.com 

Fußnoten 

1 Vgl. Westheide, „Wie sollen wir das kontrollieren!?“, 

in: Zeitschrift der Arbeitskammer des Saarlandes, 

2/1993, 51 ff. 

2 Vgl. aktuell: Heidemann, Qualifizierung bei der 

Einführung und Erweiterung von SAP; Kübeck, Prozessorientierte 

Vereinbarung – Änderungen 

in SAP mitbestimmen; Just-Hahn/Konrad-Klein, 

Was, warum, wie zu SAP mit SAP prüfen? und sämtliche 

Beiträge aus dem SAP-Schwerpunktheft in: 

CuA 8-9/2009 

3 TBS-Netz (Hrsg.), SAP – kennen, gestalten und prüfen, 

2007 

4 Das aktuelle Produkt, das SAP R/3 abgelöst hat, ist 

SAP ECC 6.0, besser bekannt als SAP ERP; SAP steht 

für Systeme, Anwendungen und Produkte in der 

Datenverarbeitung 

5 Wilke, EDV-Vereinbarungen überprüfen!, in: 

CF (jetzt: CuA) 2/2001, 15 ff.; ders., Kontrolle vereinbarter 

Grundsätze und Regeln, in: CF (jetzt: CuA) 

7-8/2006, 23 ff.; Rupp, SAP R/3 kontrollieren – aber 

wie?, in: CF (jetzt: CuA) 6/2001, 8ff. 

6 Für Personalräte vgl. § 68 Abs. 1 Nr. 2 und § 44 

BPersVG und entsprechende LPersVGe sowie die 

jeweiligen Landesdatenschutzgesetze 

7 BV-Muster zu SAP ERP HR z.B. in: dbr 1/2009, 31 ff. 

(vgl. www.dtb-kassel.de unter: Veröffentlichungen) 

8 Vgl. hierzu auch Bechmann, Berechtigungsvergabe 

datenschutz- und compliancekonform gestalten, 

in: CuA 8-9/2009, 15 ff. (16) 

9 Datenschutzleitfaden SAP ERP 6.0, 11 und 112 ff.; 

a.A. Just-Hahn/Konrad-Klein, Was, warum, wie zu 

SAP mit SAP prüfen?, in: CuA 8-9/2009, 11 ff. (11). An 

jeder Stelle der Transaktion SECR wird immer wieder 

auf das neue rollenbasierte Konzept von SAP 

verwiesen 

10 Der Datenschutzleitfaden zu SAP ERP 6.0 von 2009 

enthält sich jeder Stellungnahme zu SAP-Prüftools 

und geht nur auf SAP GRC ein, das auch Tools zur 

Zugriffs- und Berechtigungssteuerung enthält 

und das betriebliche vorhandene Berechtigungskonzept 

auf Risiken und Probleme prüft; zu GRC 

vgl. Konrad-Klein, SAP-Prüftools für Betriebs- und 

Personalräte, in: CuA 4/2009, 14 ff. (17) 

11 Weitere Prüfhandlungen für die Entwicklung eines 

eigenen Prüfkonzepts können bei den Autoren 

angefordert werden 

12 Vgl. BAG vom 17.3.1987, in: AiB 1994, 635 und BAG 

vom 11.11.1997, Az.: 1 ABR 21/97 

13 Der Datenschutzleitfaden „Leitfaden Datenschutz 

ERP 6.0“, herausgegeben von der DSAG 

Arbeitsgruppe Datenschutz, 2008, www.dsag.de/ 

fileadmin/media/Leitfaeden/080909_Datenschutz- 

Leitfaden.pdf 

14 § 80 Abs. 3 BetrVG und § 44 BPersVG


SCHWERPUNKT: GESETZGEBUNG ALS BETRIEBSGRUNDLAGE 

Datenschutz durch Daten- 

vermeidung und -sparsamkeit 

Die neuen Regelungen im Bundesdatenschutzgesetz 

Matthias Wilke / Eberhard Kiesche 

HIER LESEN SIE: 

� welche neuen Möglichkeiten Betriebs- und Personalräte durch die Novelle des Bundesdatenschutzgesetzes 

zum Beschäftigtendatenschutz haben 

� wie eine Vereinbarung dazu beitragen kann, dass Datenvermeidung und -sparsamkeit die neue Leitlinie 

im Unternehmen wird 

� wie die Interessenvertretung den Arbeitgeber zwingen kann, seine Datenverarbeitungssysteme 

rechtskonform auszugestalten 

2001 wurde in das Bundesdatenschutzgesetz (BDSG) mit dem § 3a eine Vorschrift zur Datenvermeidung und 

-sparsamkeit eingeführt. Diese Vorschrift führte in der Praxis allerdings nur ein Schattendasein. Betriebsvereinbarungen 

verwiesen zwar darauf im Zusammenhang mit der Erforderlichkeit der Datenverarbeitung. Die praktische 

Umsetzung dieser Vorschrift machte aber erhebliche Probleme. Der zusätzliche Verweis in § 3a BDSG von 

2001 auf den Einsatz von Anonymisierung und Pseudonymisierung hat ebenfalls kaum Wirksamkeit entfaltet. 

Das Mitführen der völligen Identität der Betroffenen in den Datenverarbeitungssystemen sollte dadurch reduziert 

werden. Es stellt sich aktuell die Frage, ob mit der vorliegenden BDSG-Novellierung die Situation für einen 

umfassenden Beschäftigtendatenschutz besser geworden ist und wie Interessenvertretungen die Umsetzung 

des neuen § 3a BDSG realisieren können. Im Folgenden werden die wesentlichen Neuerungen zur Datenvermeidung 

und -sparsamkeit dargestellt und deren Umsetzung am Beispiel von Kassensystemen erörtert. 

Nach dem bisherigen § 3 a BDSG hatten 

sich Gestaltung und Auswahl von Datenverarbeitungssystemen 

an dem Ziel auszurichten, 

keine oder so wenig personenbezogene 

Daten wie möglich zu erheben, 

zu verarbeiten oder zu nutzen. In diesem 

Zusammenhang sollte insbesondere 

von den Möglichkeiten der Anonymisierung 

und Pseudonymisierung Gebrauch 

gemacht werden, soweit dies möglich ist 

und der Aufwand in einem angemessenen 

Verhältnis zum angestrebten Schutzzweck 

steht. 

Der Verstoß gegen die Vorschrift nach 

dem alten Recht war keine Ordnungswidrigkeit 

und damit nicht bußgeldbewehrt. 

Ein Verstoß gegen § 3 a BDSG hatte zudem 

keine Rechtsfolge bei einer Kontrolle durch 

die Aufsichtsbehörde, deren Befugnisse 

weitgehend stumpf blieben und die die 

Umsetzung der Vorschrift nicht anordnen 

konnte. 

Dies wurde von Vertretern von Datenschutzaufsichtsbehörden 

eingeräumt. Nur 

Betriebsräte konnten mit ihren Mitbestimmungsrechten 

versuchen, in einer Betriebsvereinbarung 

auf die Umsetzung dieser Vorschrift 

hinzuwirken. Durch die Festlegung 

in einer Vereinbarung, welche personenbezogenen 

Daten der Arbeitnehmer erhoben, 

verarbeitet und genutzt werden konnten 

und welche Zweckbindung dabei zu beachten 

war, konnte zumindest dem „Datenhunger“ 

mancher Arbeitgeber gewisse Gren- 

zen gesetzt werden. Dennoch kam es bei 

der Einführung von IT-Systemen oftmals 

vor, dass durch Betriebsvereinbarung quasi 

eine Vollerhebung von personenbezogenen 

Daten der Arbeitnehmer durch die 

technische Kontrolleinrichtung ermöglicht 

wurde und nur deren Auswertungs- und 

Verarbeitungsmöglichkeiten durch ein mitbestimmtes 

Berechtigungskonzept eingeschränkt 

wurden. Zumindest in der Präambel 

vieler IT-Vereinbarungen fand sich der 

Grundsatz der Datensparsamkeit und -vermeidung 

wieder, im eigentlichen Text blieb 

das dann aber ohne allzu weit reichende 

inhaltliche Konkretisierung. 

Die geringe Wirksamkeit der Bestimmung 

zur Datenvermeidung und -sparsam- 

69

keit in der Praxis wurde indirekt im § 11 

Datenschutzauditgesetz-Entwurf 1 zugegeben. 

Dieser wurde allerdings 2009 wegen 

inhaltlicher Kritik zurückgezogen. 

Das Datenschutzaudit-Gesetz soll jetzt 

erst in einem Pilotprojekt getestet werden. 

Unternehmen, die künftig ein Datenschutz- 

Gütesiegel erhalten wollen, sollten nach 

dem Auditgesetz-Entwurf zunächst nachweisen, 

dass sie die Datenschutzvorschriften 

nach dem BDSG umsetzen. Zusätzlich 

sollten sie die noch vom Datenschutzaudit-Ausschuss 

zu erlassenden Richtlinien 

zur Umsetzung des BDSG 2 einhalten. Die 

geplanten Richtlinien sollten sich auf die 

in der Praxis sichtbaren Schwachstellen bei 

der Umsetzung des Datenschutzes in Unternehmen 

beziehen. Eine Richtlinie sollte die 

betriebliche Umsetzung des § 3 a BDSG zum 

Thema haben. 

§ 3a BDSG 

neu formuliert 

Der Gegenstandsbereich der Vorschrift zur 

Datenvermeidung und -sparsamkeit wird 

in der neuen Fassung 2009 präzisiert. Der 

Grundsatz der Datensparsamkeit, d. h. so 

wenig wie möglich personenbezogene 

Daten und der Grundsatz der Datenvermeidung, 

d. h. keine personenbezogene Daten, 

bezieht sich jetzt nicht nur auf die Auswahl 

und Gestaltung von Datenverarbeitungssystemen, 

sondern zusätzlich auf die Erhebung, 

Verarbeitung und Nutzung personenbezogener 

Daten sowohl innerhalb als 

auch außerhalb der automatisierten Datenverarbeitung. 

Diese Änderungen hängen mit dem 

neuen § 32 Abs. 1 und 2 zum Beschäftigtendatenschutz 

in Verbindung mit § 28 Abs. 1 

BDSG zusammen, der den Schutzbereich 

auf alle personenbezogenen Daten von 

Beschäftigten ausweitet, die zur Begründung, 

Durchführung und Beendigung eines 

Beschäftigungsverhältnisses erforderlich 

sind. 

Anonymisierung und 

Pseudonymisierung 

Auch in der neuen Fassung der Vorschrift 

wird herausgestellt, dass vor allem personenbezogene 

Daten dann zu anonymisieren 

oder zu pseudonymisieren sind, 

70 

AUS DEM BUNDESDATENSCHUTZGESETZ 

wenn es nach dem Verwendungszweck 

möglich ist und keinen im Verhältnis zum 

angestrebten Schutzzweck unverhältnismäßi 

gen Aufwand erfordert. 

Bei Maßnahmen der Anonymisierung 

von personenbezogenen Daten ist eine 

Zuordnung von Einzelangaben zu einer 

bestimmten Person nicht mehr oder nur 

mit einem unverhältnismäßig großen Aufwand 

möglich. 3 Bei Maßnahmen der Pseudonymisierung 

wird der Name oder andere 

Bestimmungsmerkmale durch ein Kennzeichen 

ersetzt und damit die Bestimmung des 

Betroffenen ausgeschlossen oder wesentlich 

erschwert. 4 

Erforderlichkeit der personenbezogenen 

Daten 

Durch die Neuformulierungen in §§ 3 a und 

32 BDSG wird der Grundsatz der Datenvermeidung 

und -sparsamkeit konkretisiert. 

Personenbezogene Daten der Beschäftigten 

gemäß § 3 Abs. 11 BDSG dürfen für 

Zwecke des Beschäftigungsverhältnisses 


§ 3 a BDSG – Datenvermeidung und Datensparsamkeit 

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl 

und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so 

wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. 

Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, 

soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis 

zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. 

§ 32 BDSG – Datenerhebung, -verarbeitung und -nutzung für Zwecke 

des Beschäftigungsverhältnisses 

(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses 

erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung 

über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung 

des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung 

erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines 

Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende 

tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im 

Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder 

Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten 

an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, 

insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. 

(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet 

oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer 

nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung 

in einer solchen Datei erhoben werden. 

(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben 

unberührt. 

erhoben, verarbeitet oder genutzt werden, 

aber nur dann, wenn sie für die Entscheidung 

über die Begründung eines Beschäftigungsverhältnisses 

oder nach Begründung 

des Beschäftigungsverhältnisses für 

die Durchführung oder Beendigung erforderlich 

sind (§ 32 Satz 1 BDSG). 

Vorher stand im § 28 Abs. 1 Nr. 1 BDSG 

die weichere Formulierung, dass die Daten 

dem Zweck des Arbeitsverhältnisses dienen 

mussten. 5 Zudem ist jetzt die Verarbeitung 

von Daten einbezogen. Bei der Umsetzung 

des neuen § 3 a BDSG heißt das im Hinblick 

auf § 32 BDSG, dass nunmehr ausdrücklich 

für jedes personenbezogene Datum der 

Beschäftigten im festzulegenden Datenkatalog 

als Anlage zur Betriebsvereinbarung 

die Erforderlichkeit abgeprüft werden muss. 

Diese ist vom Arbeitgeber nachzuweisen. 

Die Zielvorgabe der Datenvermeidung und 

-sparsamkeit hat sich in erster Linie an der 

Erforderlichkeit und Begrenztheit der Daten 

für einen berechtigten Zweck im Beschäftigungsverhältnis 

auszurichten.


Neue Rechte für 

Aufsichts behörden 

Leider ist festzustellen: Auch im novellierten 

BDSG ist ein Verstoß gegen § 3 a 

keine Ordnungswidrigkeit. Die Bußgeldvorschriften 

insgesamt sind allerdings erweitert. 

In § 38 Abs. 5 sind aber die Befugnisse 

der Aufsichtsbehörden erheblich verschärft 

worden. 

Ab sofort kann die Aufsichtsbehörde 

zur Gewährleistung dieses Gesetzes und 

anderer Vorschriften über den Datenschutz 

Maßnahmen zur Beseitigung festgestellter 

Verstöße bei der Erhebung, Verarbeitung 

oder Nutzung personenbezogener oder 

technischer oder organisatorischer Mängel 

anordnen. Bei schweren Verstößen mit 

besonderen Gefährdungen des Persönlichkeitsrechts 

oder bei Nichtbefolgen von 

Anordnungen kann die Aufsichtsbehörde 

einzelne Verfahren oder die Erhebung, Verarbeitung 

und Nutzung personenbezogener 

Daten untersagen. 

Frischer Wind für Arbeitnehmerdatenschutz 

Für die Verarbeitung personenbezogener 

Daten der Beschäftigten in Unternehmen 

ist also § 32 BDSG der wesentliche Zulässigkeitstatbestand. 

Er ersetzt den § 28 Abs. 1 

Nr. 1 BDSG als Rechtsgrundlage für die 

rechtmäßige Erhebung, Verarbeitung und 

Nutzung der Daten von Beschäftigten. Der 

neue § 28 Abs. 1 Nr. 1 BDSG findet für den 

Beschäftigtendatenschutz keine Anwendung 

mehr, § 28 Abs. 1 Nr. 2 BDSG bleibt als 

Rechtfertigung für die Verarbeitung von 

Beschäftigtendaten. § 32 erfasst jetzt alle 

Personen, die in einem Beschäftigungsverhältnis 

stehen. 6 

§ 32 Satz 1 BDSG legt zudem fest, dass 

bezogen auf alle Phasen eines Beschäftigungsverhältnisses 

bei der Erhebung, 

Verarbeitung und Nutzung von Beschäftigtendaten 

deren Erforderlichkeit und 

Zweckbindung zwingend sind. 

Welche Daten der Arbeitgeber im Einzelnen 

konkret erheben, verarbeiten oder nutzen 

darf, kann auch § 32 BDSG nicht entnommen 

werden. Im Einzelfall muss nach wie 

vor die Verhältnismäßigkeit geprüft werden, 

also eine Abwägung zwischen den objektiven 

Informationsinteressen des Arbeitge- 

bers mit dem Anspruch der Beschäftigten 

auf Persönlichkeitsschutz erfolgen. 

Kontrolle von Daten zur 

Aufdeckung von Straftaten? 

§ 32 Abs. 1 Satz 2 BDSG stellt zudem Anforderungen 

an den Datenschutz, wenn im 

Beschäftigungsverhältnis Straftaten wie 

Diebstahl oder Korruption aufgedeckt werden 

sollen. Dabei dürfen personenbezogene 

Daten der Betroffenen nur ausnahmsweise 

erhoben, verarbeitet oder genutzt 

werden, wenn ein konkreter Verdacht vorliegt 

und die Daten zur Aufdeckung der 

Straftat erforderlich sind. Der Arbeitgeber 

hat die Anhaltspunkte für den Verdacht 

schriftlich zu dokumentieren. Gleichzeitig 

muss geprüft werden, ob der Verwendung 

der Daten überwiegende schutzwürdige 

Interessen der Betroffenen entgegenstehen 

und ob Art und Ausmaß der Erhebung, 

Verarbeitung und Nutzung der Daten im 

Hinblick auf den Anlass der Kontrolle noch 

verhältnismäßig ist. Es muss ein tatsächlich 

begründeter Verdacht da sein. Hier wird 

bereits deutlich: § 32 Abs. 1 Satz 2 BDSG 

kann nicht oder nur in geringem Maße für 

die Prävention von Straftaten oder Korruption 

als Rechtfertigung benutzt werden. 7 In 

§ 32 Abs. 3 BDSG wird bestätigt, dass Mitbestimmungsrechte 

unberührt bleiben. 

Kassensysteme für Kontrollen und 

Betrugsrecherche nutzen? 

Was bedeuten die neuen BDSG-Vorschriften 

nun für IT-Regelungen in der Praxis für den 

Betriebsrat? Dies wird am Beispiel der Registrierkassen, 

die im Handel personenbezogene 

Daten der Beschäftigten zur Aufdeckung 

von Straftaten unbegrenzt sammeln, 

dargestellt. 

Bei der Gestaltung von Betriebsvereinbarungen, 

nicht nur zu Kassensystemen, 

sollten die Betriebsräte die folgenden drei 

Prüfungsschritte vornehmen: 

Für die Gestaltung von IT-gestützten 

Kassensystemen muss in einem ersten 

Schritt überprüft werden, ob sämtliche 

vom Arbeitgeber gewünschten Daten der 

Beschäftigten samt Auswertungen 8 für die 

Begründung, Durchführung oder Beendigung 

eines Beschäftigungsverhältnisses 

tatsächlich erforderlich sind. Eine Vollerhebung 

aller personenbezogenen Daten 

an der Kasse für den Zweck der kontinuierlichen 

Betrugsrecherche ist nach § 32 

Abs. 1 Satz 1 BDSG offensichtlich nicht erforderlich, 

verletzt das Datenschutzprinzip der 

Transparenz 9 und ist zudem nicht verhältnismäßig. 

10 Eine Vollerfassung und -überwachung 

von personenbezogenen Kassendaten 

ist allerdings schon nach dem alten 

§ 28 Abs. 1 Nr. 1 BDSG eindeutig unzulässig 

und eine Verletzung des informationellen 

Selbstbestimmungsrechts der Beschäftigten 

gewesen. 

In einem zweiten Schritt müssen die 

Zweckbestimmung der personenbezogenen 

Daten festgelegt und grundsätzlich 

Leistungs- und Verhaltenskontrollen ausgeschlossen 

werden. 

Am Beispiel der Kassensysteme im Handel 

ist in einem dritten Schritt zu prüfen, ob 

alle von der Technik her möglichen Daten 

an den Kassen vom Arbeitgeber zur Aufdeckung 

von Inventurdifferenzen, Betrug 

und Unterschlagung rechtmäßig erhoben 

werden dürfen. Hierfür kann der § 32 

Abs. 1 Satz 2 BDSG als Erlaubnistatbestand 

in Frage kommen. 

Kontrolle/Datenhaltung 

mit Kassensystemen? 

Schon allein die Erhebung aber auch die 

Verarbeitung und Nutzung derartiger 

Daten sind nach § 32 Satz 2 BDSG nur dann 

im Beschäftigungsverhältnis zulässig, wenn 

zu dokumentierende tatsächliche Anhaltspunkte 

den konkreten Verdacht begründen, 

dass der Betroffene bei der Arbeit eine 

Straftat begangen hat. Weiterhin wäre noch 

abzuwägen, ob die Erhebung, Verarbeitung 

und Nutzung von Daten zur Aufdeckung 

von Straftaten erforderlich ist, diese Datenverarbeitung 

noch verhältnismäßig im Hinblick 

auf den Anlass der Kontrolle ist und ob 

überwiegende schutzwürdige Interessen 

des Betroffenen gegeben sind. 11 

Die Prüfung ergibt: Präventiv dürfen 

nicht alle Beschäftigten an den Kassen mit 

dem Kassensystem jederzeit überwacht 

werden, da sie keinen Anlass für eine Vollkontrolle 

gegeben haben und diese zudem 

unverhältnismäßig wäre. Eine Vollkontrolle 

heißt: Alle Beschäftigten an der Kasse bleiben 

durch die Überwachungsmaßnahme 

nicht anonym, alle Aktivitäten am Kassenarbeitsplatz 

wie z. B. die eingescannten 

71

Artikel pro Minute oder auch Stornos werden 

erfasst und alle überwachten Personen 

müssen immer mit arbeitsrechtlichen Maßnahmen 

wie z. B. Personalgesprächen mit 

der Kassenaufsicht, Versetzungen oder 

Herabgruppierungen rechnen. Diese sind 

gelebte Praxis in vielen Einzelhandelsunternehmen. 

Der Einsatz mancher Kassensysteme 

führt zur Erstellung von Persönlichkeitsprofilen 

und das ist nach BDSG 

und Grundgesetz nicht zulässig. 12 Es dürfen 

keine allwissenden Datenherren entstehen. 

13 Hier liegt immer ein Verstoß gegen 

§ 75 Abs. 2 BetrVG vor, weil eine freie Entfaltung 

der Persönlichkeit im Unternehmen 

nicht mehr möglich ist. 

Eine Vorratsdatenhaltung von Kassendaten 

ist schon deshalb unzulässig, weil es 

an der Festlegung des Zwecks gemäß § 28 

Abs. 1 Satz 2 BDSG fehlt. Zweckänderungen 

lassen sich nur bei Einsatz von konkreten 

Mitteln der Anonymisierung und Pseudonymisierung 

rechtfertigen. 

Eine Verknüpfung von Kassendaten, die 

den Personalkauf erfassen, mit anderen personenbezogenen 


an der Kasse, ist ebenfalls nicht zulässig. 

Prüfung der Verhältnismäßigkeit 

In analoger Anwendung der klaren Rechtsprechung 

des Bundesarbeitsgerichts 

(BAG) zur Videoüberwachung wird ebenfalls 

deutlich, dass eine dauerhafte Vollerfassung 

und Auswertung von Leistung und 

Verhalten der Beschäftigten an Kassen und 

der Einsatz verdeckter technischer Kontrolleinrichtungen 

ohne einen konkreten 

Anlass mit dem Persönlichkeitsschutz der 

Beschäftigten unvereinbar ist. Das BAG 

nimmt in seinem Beschluss vom 26. 8. 2008 

ausgehend von Vorgaben des Bundesverfassungsgerichts 

eine umfassende Verhältnismäßigkeitsprüfung 

vor, die auf den Einsatz 

von Kassensystemen zu übertragen ist. 

Geheime Kontrollen sind grundsätzlich verboten 

und nur unter äußerst restriktiven 

Gesichtspunkten zulässig, wenn alle anderen 

Möglichkeiten ausscheiden. 14 

Vor einer Vollerfassung von personenbezogenen 

Daten der Beschäftigten an den 

Kassen wäre also immer noch zu überprüfen, 

ob nicht andere nichttechnische geeignete 

Mittel eingesetzt werden können 

um Kassenfehlbedienungen, Kassendiffe- 

72 


DIE PSEUDONYMISIERUNG AM BEISPIEL EINES KASSENSYSTEMS 

Pseudonym (griechisch: „fälschlich so genannt“). Das Pseudonym ist ein fingierter Name, 

den besonders Künstler oder Schriftsteller aus unterschiedlichen Gründen verwenden. 

In Bezug auf Kassendaten bedeutet Pseudonymisierung, dass es keinen direkten Personenbezug 

mehr gibt. 

Dafür erfolgt in der sogenannten Black-Box (Pseudonymisierungsserver) automatisiert 

eine Veränderung personenbezogener Daten (z.B. der Personalnummer) aufgrund 

einer Zuordnungsvorschrift (Algorithmus): 

12,92 

Check-Out- 

Kassen 

12,92 

Revision mit 

Auswertungstool 

pseudonymisierte Kassendaten 

pseudonymisierte 

Kassendaten 

Kassencontroller 

Kassen- 

auswertung 

Name des 

Mitarbeiters 

Pseudonymiserungsserver 

� Die Zuordnungsvorschrift und ihre Anwendung kann nur von drei Personen eingerichtet 

oder geändert werden. 

� Der Name und das dazugehörige Pseudonym werden nirgendwo gespeichert. 

� Die Umwandlung des Pseudonyms in den Namen des Kassenbedieners erfolgt nur 

bei konkretem Betrugsverdacht. 

� Der Betriebsrat und der Hausleiter verfügen über jeweils eigene Passwörter um von 

der Filiale auf den Pseudonymisierungsserver in der Zentrale zugreifen zu können. 

� Ergibt die Auswertung der (pseudonymisierten) Kassendaten, dass bei einem Benutzer 

auffällig viele Ereignisse (z.B. Stornos, Retoure, hohe Leergutauszahlung) auftreten, 

wird dies anhand von Unterlagen (Auswertungen der Kassenprotokolle) dokumentiert 

und der Betriebsrat darüber informiert. Der Hausleiter bzw. die Revision müssen weitere 

Verdachtspunkte mitteilen. 

� Stimmt der Betriebsrat einer De-Pseudonymisierung zu, wird am Rechner (Kassencontroller) 

in der Filiale durch Eingabe der jeweiligen Passwörter durch den Filialleiter 

und den Betriebsrat mit dem Server (Black-Box) im Rechenzentrum eine Verbindung 

aufgebaut. Gemeinsam (Vier-Augen-Prinzip) wird das Pseudonym eingegeben, der Mitarbeitername 

wird aufgedeckt. 

� Dem Mitarbeiter ist unmittelbar nach Feststellung, dass tatsächliche Anhaltspunkte 

auf einen Missbrauch vorliegen, darüber zu informieren, dass sein Pseudonym gelüftet 

wurde. Konnte der Betrugsverdacht ausgeräumt werden, wird für den Mitarbeiter ein 

neues Pseudonym generiert. 

� Nach jeder De-Pseudonymisierung wird vom System automatisch ein fortlaufend 

nummeriertes Protokoll generiert, das dem zuständigen Betriebsrat unverzüglich übergeben 

wird um zu überprüfen, dass keine Aufdeckungen ohne Betriebsrat stattgefunden 

haben (z.B. durch „unbeabsichtigte“ Kenntnis des Betriebsrats-Passworts). 

� Stimmt der Betriebsrat der De-Pseudonymiserung nicht zu, findet keine Aufdeckung 

des Pseudonyms statt.


renzen und Kassenmanipulationen vorzubeugen. 

Das Mittel mit der geringsten Eingriffstiefe 

in das Persönlichkeitsrecht der 

Beschäftigten ist zu wählen. Hier bietet sich 

z. B. ein täglicher Kassensturz vor und nach 

der Kassentätigkeit an. 

Ebenso scheidet für Handelsunternehmen 

eine gezielte Rasterfahndung nach 

bestimmten Kriterien aus, da in der Regel 

keine tatsächlich zu dokumentierenden 

Anhaltspunkte für eine Straftat vorhanden 

sind. Umfassende Bondatenanalyse zur 

Betrugsrecherche mit Programmen wie z. B. 

LossPrevention oder komplexe Data Mining- 

Verfahren 15 lassen sich mit den neuen Vorschriften 

des BDSG nicht rechtfertigen, weil 

nach § 28 Abs. 1 Nr. 2 BDSG schutzwürdige 

Interessen der Beschäftigten an der Kasse 

überwiegen. 

Auch im Falle von Kassensystemen sind 

allenfalls stichprobenartige Kontrollen ohne 

Personenbezug eine geeignete Maßnahme 

zur Prävention von Kassenbetrug und 

Unterschlagung. Ergeben sich nach anonymisierten 

Datenerhebungen dann tatsächliche 

zu dokumentierende Anhaltspunkte 

für einen „begründeten Verdacht“ auf eine 

schwere Straftat, sind vertiefende Kontrollen 

unter Einhaltung der Mitbestimmung 

des Betriebsrats und unter Hinzuziehung 

des Datenschutzbeauftragten möglich. Ein 

Verdacht auf einen Verstoß gegen betriebliche 

Anweisungen reicht nicht aus. 16 

Was bleibt 

den Unternehmen? 

Die Verpflichtung in § 3 a BDSG, Datenvermeidung 

und -sparsamkeit durch Anonymisierung 

und Pseudonymisierung zu erreichen, 

zeigt nicht nur den Unternehmen im 

Handel einen gangbaren Weg auf. Sie müssen 

sich um die Art von Technik bemühen, 

die keine oder so wenig Daten mit Personenbezug 

wie möglich erhebt, verarbeitet 

oder nutzt. Es ist technisch in Kassensystemen 

ohne Probleme machbar, den Namen 

oder die Personalnummer wegzulassen 

und Auswertungen der Kassenjournals faktisch 

so zu anonymisieren, dass eine Zuordnung 

der Daten zu Beschäftigten in der Filiale 

nicht mehr möglich ist. Dann entfallen 

die Vorschriften des BDSG. Hierbei muss 

aber von Betriebsräten zusätzlich überprüft 

werden, ob ggf. weitere personenbeziehbare 

Daten im Betrieb vorhanden sind, die 

die gewünschte Anonymisierung wieder 

aufheben würde. In dem Fall ist in einem 

zweiten Schritt das Mittel der Pseudonymisierung 

zu benutzen. 

Pseudonymisierung ein Weg für 

präventive Maßnahmen 

Für den Zweck der Betrugsrecherche bietet 

sich zusätzlich noch der Weg an, hierfür 

erforderliche personenbezogene Daten an 

den Kassen zu erheben aber anschließend 

den Personenbezug durch Pseudonymisierung 

zu ersetzen. 

Pseudonymisierung bedeutet, den Personenbezug 

im Kassenjournal durch ein 

Kennzeichen oder Alias zu ersetzen und 

damit die personenbezogenen Daten der 

Beschäftigten zu pseudonymisieren. Die 

Zuordnung von pseudonymisierten Benutzerkennzeichen 

und Namensliste z. B. bei 

Kassiererinnen erfolgt auf einer gesondert 

einzurichtenden Liste. Diese kann im Safe 

eines Treuhänders verwahrt bleiben und 

Einrichtung, Pflege und Zugriff auf die Pseudonyme 

nur nach dem Vier- oder Sechs- 

Augen-Prinzip gewährt werden. Wenn tatsächliche 

Anhaltspunkte für Betrug und 

Unterschlagung am Kassenarbeitsplatz vorliegen, 

die dokumentiert worden sind, kann 

in die Liste geschaut werden, wer tatsächlich 

an der Kasse zum betreffenden Zeitpunkt 

gesessen hat. Anschließend hat sofort eine 

Unterrichtung des Betroffenen zu erfolgen 

und ihm ist eine Gelegenheit zur Stellungnahme 

zu geben. Wird der Verdacht ausgeräumt, 

müssen unverzüglich alle personenbezogenen 

Kassendaten gelöscht werden. 

Das novellierte BDSG zwingt also die 

Unternehmen viel stärker als bisher die vorhandenen 

technischen Möglichkeiten zur 

Anonymisierung und Pseudonymisierung 

zu nutzen. Gute Erfahrungen mit Pseudonymisierung 

sind vor allem im öffentlichen 

Dienst oder mit medizinischen Patientenakten 

gemacht worden. Der Aufwand für 

eine vorzunehmende Pseudonymisierung 

auch in Handelsunternehmen wird von 

Arbeitgebern überschätzt und ist keinesfalls 

unverhältnismäßig. Wenn zur Aufdeckung 

von Straftaten noch personenbezogene 

Kassendaten präventiv erhoben und 

nur im Falle von tatsächlichen Anhaltspunk- 

ten verarbeitet und genutzt werden sollen, 

brauchen Unternehmen jetzt auf jeden Fall 

das konkrete Mittel der Pseudonymisierung, 

das konkret aber nur über eine Betriebsvereinbarung 

als Erlaubnisvorschrift 17 zu verwirklichen 

ist. Ansonsten bleibt den Unternehmen 

für die Prävention nur das Mittel 

der anonymisierten stichprobenartigen 

Kontrollen. 

Mitbestimmung und 

Betriebsvereinbarung 

Interessenvertretungen können die neuen 

Vorschriften zum Beschäftigtendatenschutz 

nutzen und durch den Abschluss 

von Betriebsvereinbarungen mehr als bisher 

dazu beitragen, dass Datenvermeidung 

und -sparsamkeit die neue Leitmaxime 

der Unternehmen wird. Sie können 

nach § 87 Abs. 1 Nr. 6 BetrVG den Abschluss 

einer Betriebsvereinbarung z. B. zu Kassensystemen 

oder anderen technischen Kontrolleinrichtungen 

zur Mitarbeiterüberwachung 

erzwingen. 18 Betriebsräte können 

zudem bei IT-Systemen, die im Unternehmen 

zwar eingeführt aber bislang nicht 

geregelt sind, ebenfalls Betriebsvereinbarungen 

durchsetzen. 

Eine Betriebsvereinbarung ist eine 

Rechtsvorschrift gemäß § 4 Abs. 1 BDSG 

und im unklaren Feld des Beschäftigtendatenschutzes 

den Unternehmen zur Erfüllung 

der datenschutzrechtlichen Anforderungen 

dringend zu empfehlen. Die 

Betriebsparteien können allerdings den 

Standard des neuen BDSG nicht unterschreiten, 

auch wenn sich dies Arbeitgeber 

jetzt verstärkt wünschen. Eine Schlechterstellung 

in der Betriebsvereinbarung 

gegenüber den Regelungen des neuen 

BDSG wäre ein eindeutiger Verstoß gegen 

das Persönlichkeitsrecht der Betroffenen 

und liegt nicht in der Regelungsbefugnis 

der Betriebsparteien. Das BDSG ist nicht 

abdingbar. 19 

Kommen Arbeitgeber den berechtigten 

Wünschen nach Anonymisierung 

und Pseudonymisierung nicht nach, kann 

der Betriebsrat die Verhandlungen für 

gescheitert erklären und für den Abschluss 

einer Betriebsvereinbarung die Einigungsstelle 

gemäß § 76 BetrVG einrichten lassen. 

Voraussetzung für eine rechtsverträgliche 

73

Betriebsvereinbarung ist allerdings die umfassende Information 

durch den Arbeitgeber über die technischen Möglichkeiten der 

Datenverarbeitungssysteme. 

Fazit 

Betriebsräte haben nach § 80 Abs. 1 Nr. 1 BetrVG das Recht, die Einhaltung 

der zugunsten der Arbeitnehmer geltenden Gesetze und 

damit auch des BDSG zu überwachen und Informationen nach § 80 

Abs. 2 BetrVG vom Arbeitgeber anzufordern, wie z. B. § 3 a und § 32 

BDSG für Datenerhebungen, -verwendungen und –nutzungen 

umgesetzt werden sollen. Sie haben es in der Hand, die Arbeitgeber 

zu einer rechtskonformen Ausgestaltung ihrer Datenverarbeitungssysteme 

zu zwingen. Sie sollten ihre Arbeitgeber an die 

Datenschutzskandale der letzten Jahre erinnern und verdeutlichen, 

wie schnell Datenschutzskandale und -pannen einen Imageverlust 

der Unternehmen bewirken. Pseudonymisierung ist ein gangbarer 

und günstiger Weg um das informationelle Selbstbestimmungsrecht 

der Beschäftigten und berechtigte Interessen der Unternehmen, 

z. B. im Einzelhandel, in Einklang zu bringen. Notfalls können 

Betriebsräte Aufsichtsbehörden einschalten, die jetzt andere und 

bessere Sanktionsmittel haben. Die Aufsichtsbehörden sollten personell 

besser ausgestattet werden, damit sie die Umsetzung von 

BDSG-Vorschriften wie z. B. Datenvermeidung und -sparsamkeit 

tatsächlich kontrollieren können. 

Autoren 

Matthias Wilke, Datenschutz- und Technologieberatung (dtb), Kassel, 

info@dtb-kassel.de; Dr. Eberhard Kiesche, Arbeitnehmerorientierte Beratung 

(AoB), Bremen, eberhard.kiesche@t-online.de 

Fußnoten 

1 Vom September 2007 und 22.10. 2008 

2 Vgl. § 11 Abs. 1 Nr. 2 Entwurf Datenschutzauditgesetz 

3 Vgl. § 3 Abs. 6 BDSG 

4 Vgl. § 6 a BDSG 

5 Vgl. Thüsing: Datenschutz im Arbeitsverhältnis, in: NZA 2009, 865 [866] 

6 § 3 Abs. 11 BDSG 

7 Vgl. Thüsing, a.a.O. 686 

8 Beispiele: Artikel- und Warengruppendaten, Marktabrechnungsdaten, Aktionsmengencontrolling, 

Personalrabatteinkäufe und EC-Transaktionen 

9 Anhang zur Bildschirmarbeitverordnung Nr. 20: Keine geheimen Kontrollen 

zulässig. In Einzelhandelsunternehmen werden die Beschäftigten über Kontrollmöglichkeiten 

der Kassensysteme faktisch in der Regel nicht unterrichtet 

10 BAG, Beschluss vom 26. 8. 2008, Az.: 1 ABR 16/07, Rn. 17 und insbes. Rn. 26 

11 Vgl. auch die Vorschrift in § 100 Abs. 3 Telekommunikationsgesetz (TKG) 

12 Däubler: Ein Gesetz über den Arbeitnehmerdatenschutz, in: RDV 1999, 244 [248] 

13 Däubler, in: Däubler/Klebe/Wedde/Weichert, Kommentar zum BDSG, 3. Aufl. im 

Erscheinen, § 32, Rn. 69 

14 BAG, Beschluss vom 27. 3. 2003, NZA 2003, 1193 und BAG, Beschluss vom 

26. 8. 2008, Az.: 1 ABR 16/07, NZA 2008, 1187, Rn. 21 

15 Wilke: Data Mining – Rasterfahndung im Betrieb, in: AiB 2006, 155 ff. 

16 Der Bundesverband Deutscher Arbeitgeberverbände (BDA) läuft Sturm gegen 

§ 32 Satz 2 BDSG und will den gesamten § 32 BDSG wieder abschaffen lassen 

17 § 4 Abs. 1 BDSG 

18 Vgl. Grobys/Steinau-Steinrück, NJW-Spezial 12/2008, 403 

19 Trittin/Fischer: Datenschutz und Mitbestimmung, in: NZA 2009, 343 [345] 

74 


BEISPIEL EINER BETRIEBSVEREINBARUNG 

Zwischen der Geschäftsführung der Firma XYZ GmbH, 

und dem Betriebsrat der Firma XYZ GmbH, 

wird eine Betriebsvereinbarung über die Einführung, Anwendung 

und Weiterentwicklung des Kassensystems XXX und des Auswertungstools 

YYY vereinbart. 

§ 1 – Zielsetzungen 

Absicht dieser Betriebsvereinbarung ist sicherzustellen, dass 

� eine effiziente Nutzung des Kassensystems XXX und des Auswertungssystems 

YYY zur Unterstützung der Ziele des Unternehmens 

gewährleistet ist, 

� die Mitarbeiterinnen und Mitarbeiter1 vor unzulässiger und 

unnötiger Nutzung der über sie erfassten und gespeicherten 

Daten geschützt werden und 

� das informationelle Selbstbestimmungsrecht der Mitarbeiterinnen 

und Mitarbeiter gewahrt wird. 

§ 2 – Zweckbindung 

Die Anwendung des Kassensystems XXX und des Auswertungstools 

YYY dient folgenden Zwecken: 

� Organisation des reibungslosen betriebswirtschaftlichen 

Ablaufs: 

– Umsatzerfassung von Artikel- und Warengruppendaten, 

– Marktabrechnungsdaten, 

– Aktionsmengencontrolling; 

� Management von Personalrabatteinkäufen und EC-Transaktionen; 

� Unterstützung des Qualitätsmanagements; 

� Schutz der Firma XYZ GmbH vor Vermögensverlusten; 

� Identifizierung von Schwachstellen in Hard- und Software; 

� Aufdeckung von Schwachstellen organisatorischer Art; 

� Aufdeckung von Inventurdifferenzen aufgrund von 

unabsichtlichen Kassenfehlbedienungen und 

� Betrugsrecherche und Nachweis von Unterschlagungen. 

§ 3 – Gegenstand, Geltungsbereich und Grundsätze 

Diese Betriebsvereinbarung gilt für die Einführung, den Einsatz, 

die Anwendung, Änderung, Erweiterung und Weiterentwicklung 

des Kassensystems XXX und des Auswertungstools YYY. 

Die Betriebsvereinbarung gilt für alle Beschäftigten der Firma 

XYZ GmbH einschließlich der Aushilfen und der beschäftigten 

Leiharbeitnehmer. 

Eine Verknüpfung der Kassensystem-Daten der Beschäftigten 

zum Zweck der Erstellung von Persönlichkeitsprofilen ist nicht 

zulässig. 

1 Im Folgenden wird aufgrund der besseren Lesbarkeit auf die weibliche Form 

verzichtet. Die Formulierung „Arbeitnehmer, Beschäftigter oder Mitarbeiter“ 

schließt jeweils die weibliche Form mit ein.


§ 4 – Systemdokumentation 

Das eingesetzte Kassensystem XXX, das Auswertungstool YYY 

und die Vernetzung werden abschließend in Anlage ## dokumentiert. 

Hierzu gehören die Hardware, die Hardwarekonfiguration, 

der Datenflussplan und die eingesetzten Programme. In Anlage ## 

wird die eingesetzte Software abschließend dokumentiert. 

Berichte und Auswertungen des Kassensystems XXX und des Auswertungstools 

YYY werden in Anlage ## samt Empfängerkreis und 

Löschfristen vereinbart und festgeschrieben. 

Die Anlagen sind Bestandteil dieser Betriebsvereinbarung. 

§ 5 – Leistungs- und Verhaltenskontrollen 

Die Erhebung, Verarbeitung, Nutzung, Speicherung oder Veränderung 

des Kassensystems XXX und des Auswertungstools YYY zu 

Leistungs- und Verhaltenskontrollen ist unzulässig. 

Fehler und Mängel bei der Benutzung der Kassen bzw. bei der 

Leis tungserbringung der Kassenbediener, die in den Qualitätsmanagement-Berichtsdaten 

offenkundig werden, dürfen nicht personenbezogen 

oder –beziehbar verarbeitet oder genutzt werden. 

Schulungsmaßnahmen aufgrund von festgestellten Qualitätsmängeln 

sind ausschließlich für die jeweilige Filiale insgesamt 

durchzuführen. 

Fehlbedienungsauswertungen sind nur dann zulässig, wenn sie 

sich auf eine Grundgesamtheit von mindestens acht Personen 

beziehen. 

§ 6 – Datenvermeidung 

Bei der Erhebung von personenbezogenen Daten der Beschäftigten 

an den Kassen ist § 3a BDSG zu beachten. Datenvermeidung 

und -sparsamkeit sind für die Anwendung des Kassensystems XXX 

und des Auswertungstools YYY durch konkrete Maßnahmen der 

Anonymisierung und Pseudonymisierung sichergestellt. 

Vor dem Einsatz umfassender Auswertungen, Reports und Statistiken 

mit Hilfe des Kassensystems XXX und des Auswertungstools 

YYY ist zu prüfen, mit welchen anderen auch nichttechnischen 

Mitteln Kassenfehlbedienungen, -differenzen und -manipulationen 

vorgebeugt werden können. Es ist ein täglicher Kassensturz 

vorher und nachher vorzunehmen. Jährlich ist dem Betriebsrat 

eine Bedarfsermittlung vorzulegen, die aufzeigt, welche 

Kassen differenzen, -manipulationen und -probleme in der Vergangenheit 

aufgetreten sind und ob der Einsatz eines computergestützten 

Kassenanalysesystems erforderlich im Sinne des § 32 

Abs. 1 Satz 1 und 2 BDSG ist. 

Die Kassendaten sind grundsätzlich so zu anonymisieren, dass 

eine faktische Zuordnung der erfassten Daten zu Personen in der 

Filiale nicht mehr möglich ist. 

Wird nachgewiesen, dass eine Zuordnung zu Benutzern in der Filiale 

möglich sein muss, ist eine Pseudonymisierung vorzunehmen. 

§ 7 – Pseudonymisierung 

Jeder Benutzer des Kassensystems XXX erhält zur Anmeldung und 

Berechtigungsprüfung am System eine Codekarte mit einer pseudonymisierten 

Benutzerkennung. 

Die Codekarte mit der pseudonymisierten Benutzerkennung wird 

zentral erstellt. Die Zuordnungsregel zur Generierung des Pseudonyms 

erfolgt mit einer eigenen Hardwarekomponente mit zugehöriger 

Software als Black-Box-Lösung (Pseudonymisierungsserver), 

die in der Anlage ## beschrieben ist. 

Die Einrichtung, die Pflege und der Zugriff auf die Zuordnungsregel 

zur Generierung der Benutzerkennung geschieht nach dem 

Sechs-Augen-Prinzip. Berechtigt sind dazu gemeinsam der Datenschutzbeauftragte, 

der System-Administrator und der Betriebsrat. 

Die Benutzerkennung und der Name sind im System nicht hinterlegt 

und fest zugeordnet. 

§ 8 – De-Pseudonymisierung 

Die Aufhebung der Pseudonymisierung (De-Pseudonymisierung) 

wird nur zur Aufklärung strafbarer Handlungen und zur Unterstützung 

hierfür gerechtfertigter betriebsinterner Ermittlungen vorgenommen. 

Grundlage hierfür sind folgende Anlässe: 

� Dringender, begründeter und dokumentierter Verdacht auf 

Betrug oder Unterschlagung am Kassenarbeitsplatz und 

� Hinweise Dritter zu Unregelmäßigkeiten, die den Verdacht auf 

strafbare Handlungen am Kassenarbeitsplatz rechtfertigen. 

Anhaltspunkte und Hinweise sind zu dokumentieren. 

Der Hausleiter oder sein Vertreter teilt dem zuständigen Betriebsrat 

unter Verpflichtung zur Verschwiegenheit anhand von Unterlagen 

die Gründe für die De-Pseudonymisierung mit. 

Erhebt der Betriebsrat gegen die De-Pseudonymisierung nach 

Abwägung aller Vorgaben in § 32 Abs. 1 Satz 2 BDSG keine Einwände, 

kommt es zur kontrollierten Offenlegung und Freigabe 

der Identität des Mitarbeiters am Kassenarbeitsplatz. 

Die Aufhebung des Pseudonyms erfolgt nach dem Vier-Augen- 

Prinzip. Das Verfahren ist in Anlage ## festgeschrieben. 

Sobald der Personenbezug hergestellt ist und der Name des 

Beschäftigten vorliegt, muss bei Speicherung, Verarbeitung 

und Nutzung dieser personenbezogenen Daten der betroffene 

Beschäftigte unverzüglich benachrichtigt werden. Ihm ist das 

Recht auf eine Stellungnahme einzuräumen. Er kann auf Wunsch 

ein Mitglied des Betriebsrats hinzuziehen. 

Die Speicherung, Nutzung und Verarbeitung der erhobenen Kassendaten 

durch die Firma XYZ GmbH ist ausschließlich für eventuelle 

Gerichtsverfahren zulässig. Wird der Anfangsverdacht 

ausgeräumt, müssen unverzüglich alle diesbezüglichen personenbezogenen 

Daten der betroffenen Beschäftigten gelöscht werden. 

Nach jeder De-Pseudonymisierung wird vom System automatisch 

ein fortlaufend nummeriertes Protokoll generiert, das dem 

zuständigen Betriebsrat unverzüglich übergeben wird. 

§ 9 – Datenschutz und Berechtigungskonzept 

Das Berechtigungskonzept für die Nutzung des Kassensystems 

XXX und des Auswertungstools YYY wird zwischen Geschäftsführung 

und Betriebsrat vereinbart und ist als Anlage ## Bestandteil 

dieser Betriebsvereinbarung. 

75

76 

Zugriffe auf die Daten und Auswertungen haben nur Mitarbeiter 

der Revision/Sicherheitsabteilung und die IT-Systemadministratoren 

der Firma XXX GmbH im Rahmen der Auftragsdatenverarbeitung. 

Es muss sowohl technisch wie organisatorisch gemäß § 9 

BDSG sichergestellt werden, dass ausschließlich die berechtigten 

Personen Zugang zu den Daten erhalten. 

§ 10 – Löschfristen 

Die Daten des Kassensystems XXX und des Auswertungstools YYY 

sind spätestens nach ___ Tagen zu löschen. 

§ 11 – Rechte der Beschäftigten 

Alle Beschäftigten werden über den Einsatz und die Möglichkeiten 

des Kassensystems XXX und des Auswertungstools YYY schriftlich 

informiert. Der Erhalt der Information durch den Mitarbeiter ist 

schriftlich zu dokumentieren. Die Information erfolgt in verständlicher 

Weise über alle wesentlichen Funktionalitäten und Auswirkungen 

des Kassensystems und über die bei der Firma XYZ GmbH 

vorgenommenen Pseudonymisierungen und Anonymisierungen. 

Die Geschäftsführung stellt sicher, dass alle neu eingestellten 

Beschäftigten, die an Kassenarbeitsplätzen eingesetzt werden, vor 

Beginn ihrer Tätigkeit schriftlich über das Kassensystem XXX und 

das Auswertungstool YYY informiert werden. Die Beschäftigten 

sind im Rahmen der Unterweisung an den Kassensystemen auch 

auf deren Einsatz und die Wirkungsweise zu belehren. 

Die Rechte der Beschäftigten auf Benachrichtigung, Auskunft, 

Berichtigung, Löschung und Sperrung nach §§ 33 – 35 BDSG bleiben 

unberührt. 

§ 12 – Beweisverwertungsverbot 

Informationen, die unter Verletzung der Bestimmungen dieser 

Betriebsvereinbarung gewonnen werden, dürfen nicht verwendet 

werden. Auf diesen Informationen basierende arbeitsrechtliche 

Maßnahmen sind unwirksam. 

Werden Fehler bei der Bedienung der Kasse infolge der De-Pseudonymisierung 

personenbezogen oder -beziehbar gemacht, dürfen 

die festgestellten Fehler nicht zu Leistungskontrollen und 

arbeitsrechtlichen Sanktionen genutzt werden. 

§ 13 – Technisch-organisatorische Maßnahmen 

des Datenschutzes 

Die Geschäftsführung der Firma XYZ GmbH gewährleistet, dass 

die Daten der Beschäftigten umfassend gegen Missbrauch 

geschützt werden. Das Datenschutzkonzept zum Kassensystem 

und dem Auswertungstool gemäß § 9 und Anlage zu § 9 BDSG ist 

Bestandteil dieser Betriebsvereinbarung (Anlage ##). 

Der betriebliche Datenschutzbeauftragte (_____) informiert jährlich 

den Betriebsrat über neue Methoden und Erkenntnisse zur 

Anonymisierung und Pseudonymisierung. 

Alle Benutzeraktivitäten des Kassencontrollers und des Pseudonymisierungsservers 

werden protokolliert. 

Auf Wunsch werden dem Betriebsrat die Protokolle zur Verfügung 

gestellt und erläutert. 


Mitarbeiter der Firma XXX GmbH als Auftragnehmer, IT-Systemadministratoren, 

Marktleiter und Mitarbeiter der Revision werden 

auf die Einhaltung des Datenschutzes gemäß § 5 BDSG verpflichtet. 

§ 14 – Mitbestimmung des Betriebsrats 

Über Änderungen und Erweiterungen des Kassensystems XXX 

und des Auswertungstools YYY wird der Betriebsrat der Firma XYZ 

GmbH rechtzeitig und umfassend anhand von Unterlagen nach 

§ 80 Abs. 2 BetrVG informiert. 

Änderungen und Erweiterungen der Systeme sind mitbestimmungspflichtig. 

Hierzu gehören insbesondere Änderungen und 

Erweiterungen der Hard- und Software, Ausweitungen des Datenkatalogs 

und der Auswertungen, Änderungen des Zugriffsberechtigungs- 

und des Datenschutzkonzepts nach § 9 BDSG sowie der 

Zweckbestimmung des Systems. 

Die Firma XYZ GmbH stellt sicher, dass bei der Auftragsdatenverarbeitung 

durch den Auftragnehmer Firma XXX GmbH der Betriebsrat 

seine Überwachungsaufgabe gemäß § 80 Abs. 1 Nr. 1 BetrVG 

vor Ort beim Auftragnehmer ohne Behinderung seiner Betriebsratstätigkeit 

wahrnehmen kann. Die Bestimmungen des § 11 BDSG 

werden Inhalt des Dienstleistungsvertrags. 

Der Datenschutzbeauftragte der Firma XYZ GmbH überprüft 

regelmäßig die Einhaltung aller Datenschutzvorschriften in Bezug 

auf die Anwendung der Kassensysteme. Er berichtet zweimal 

jährlich dem Betriebsrat. Der Datenschutzbeauftragte stellt dem 

Betriebsrat die nach § 4 g Abs. 2 BDSG zu führenden Übersichten 

und die erforderliche Datenschutzzulässigkeitsprüfung des Kassensystems 

XXX und des Auswertungstools YYY zur Verfügung. 

§ 15 – Meinungsverschiedenheiten 

Ergeben sich bei der Anwendung und Auslegung dieser Betriebsvereinbarung 

Meinungsverschiedenheiten bzw. Auslegungsstreitigkeiten, 

so kann bei Nichteinigung die Einigungsstelle gemäß 

§ 76 BetrVG angerufen werden. 

§ 16 – Schlussbestimmungen 

Diese Betriebsvereinbarung tritt am Tage ihrer Unterzeichnung in 

Kraft. 

Diese Regelung kann mit einer Frist von vier Monaten von beiden 

Seiten frühestens zum __.__.___ gekündigt werden. Einvernehmliche 

Änderungen sind jederzeit möglich. 

Bis zum Abschluss einer neuen Regelung bleiben alle Bestimmungen 

dieser Betriebsvereinbarung in Kraft. 

Sollte eine Bestimmung dieser Betriebsvereinbarung unwirksam 

sein oder werden, so wird hierdurch die Wirksamkeit der übrigen 

Bestimmungen nicht berührt. Die Betriebsparteien verpflichten 

sich für einen solchen Fall, eine wirksame Regelung zu treffen, die 

dem Zweck der unwirksamen Regelung möglichst nahe kommt.

Die Arbeitsgruppe Datenschutz im 

DSAG (Deutschsprachige SAP- 

Anwendergruppe) hat kürzlich 

seinen SAP-Datenschutzleitfaden ERP 

6.0 vorgestellt. Der Leitfaden soll helfen, 

aktuelle rechtliche Anforderungen 

im SAP-ERP-System umzusetzen. Die 

Autoren sind Mitglieder der Arbeitsgruppe 

Revision und langjährig als Berater, 

Datenschutzbeauftragte sowie 

Sachverständige für SAP-Produkte 

tätig. Der Leitfaden kann aus dem Internet 

kostenlos heruntergeladen und 

von Betriebsräten mit seinen Empfehlungen, 

Prüfhinweisen sowie Checklisten 

als Hilfsmittel bei der Erfüllung 

ihrer Überwachungs- und Gestaltungsaufgaben 

im Arbeitnehmerdatenschutz 


Anliegen und Ziele 

Die SAP-Datenschutzexperten wollen 

mit ihrem Leitfaden vor allem Projektleiter, 

Unternehmensberater, Betriebsräte 

und betriebliche Datenschutzbeauftragte 

erreichen. Dabei kann der Leitfaden 

selbst dann eine Hilfe sein, wenn keine 

SAP-Kenntnisse vorhanden sind. 

Mit dem Leitfaden sollen praktische 

Tipps zur Umsetzung von Datenschutzanforderungen 

in SAP-Systemen gege- 

ben werden – angefangen vom Einführungsprozess 

über die Auftragsdatenverarbeitung 

bis hin zum konzernweiten 

Datenaustausch. Er berücksichtigt 

das Modul HCM, in dem besonders 

viele personenbezogene Daten der Beschäftigten 

verarbeitet werden. 

Der Leitfaden verfolgt das Ziel, die in 

SAP gespeicherten Mitarbeiterdaten zu 

schützen. Seine Empfehlungen haben 

keinen Normcharakter und sind daher 

nicht rechtsverbindlich. Werden sie 

frühzeitig beachtet und umgesetzt, 

kann die SAP-Anwendung revisionssicher 

und entsprechend des deutschen 

sowie europäischen Datenschutzrechts 

rechtssicher gestaltet werden. 

Ein weiteres Ziel des Leitfadens ist 

es, in den Betrieben ein Bewusstsein 

für die Belange des Datenschutzes zu 

schaffen. 

Nutzen für den Datenschutzbeauftragten 

Betriebliche Datenschutzbeauftragte 

erhalten mit dem Leitfaden eine 

lückenlose Darstellung ihrer Aufgaben 

und der Rechtsgrundlagen nach dem 

Bundesdatenschutzgesetz im Falle der 

Einführung von SAP ERP. Zusätzlich 

werden praktische Tipps für technische, 

organisatorische und vertragliche 

Regelungen zur Umsetzung des Datenschutzes 

gegeben. 

Nutzen für den Betriebsrat 

Betriebsräte können dem Leitfaden für 

die Entwicklung von eigenen Kontrollkonzepten 

Prüfungshinweise für konkrete 

Reports sowie Transaktionen 

entnehmen, die unerlässlich für die 

Überprüfung der Einhaltung von SAP- 

Betriebsvereinbarungen sind (siehe dbr 

1/2009, Seite 30). 

Datenschutz tipps & tricks 

Auch für Betriebsräte hilfreich 

Der Datenschutz-Leitfaden SAP ERP 6.O 

Vor kurzem wurde er vorgestellt, der SAP-Datenschutzleitfaden ERP 6.0. Matthias Wilke und Dr. Eberhard 

Kiesche informieren über die Anliegen und Ziele dieses Leitfadens und zeigen auf, weshalb er auch im 

Betriebsratsbüro seinen Platz haben sollte. 

Matthias Wilke, dtb Kassel, und Dr. Eberhard Kiesche, 

AoB Bremen, beraten und schulen Betriebsräte zu SAP 

www.dtb-kassel.de, www.aob-bremen.de 

Besonders die konkreten Hinweise und 

praktischen Beispiele zu den Aufgaben 

des betrieblichen Datenschutzbeauftragten 

bei der SAP-Einführung können 

Betriebsräte nutzen, um mit dem 

Datenschutzbeauftragten über seine 

Aufgaben, Ergebnisse und Vorgehensweisen 

ins Gespräch zu kommen. Die 

Ausführungen über Verfahrensverzeichnisse, 

Vorabkontrollen, Löschfristen, 

Zulässigkeitsprüfungen, Kontrollen 

am System und Protokollierungen sind 

eine große Hilfe für die Betriebsratsarbeit. 

Stichwort: Konzerndatenschutz 

In dem aktuellen SAP-Leitfaden werden 

erstmals Aspekte des Konzerndatenschutzes 

erörtert. Das ist sehr zu 

begrüßen. Schließlich gehört der Konzerndatenschutz 

mit zu den schwierigsten 

Kapiteln des Arbeitnehmerdatenschutzes, 

was insbesondere bei grenzüberschreitender 

Datenverarbeitung 

der Fall ist. 

Praxistipp 

Für den Umgang mit dem Leitfaden ist 

zu empfehlen, sich entsprechend den 

konkreten Fragestellungen die betreffenden 

Abschnitte vorzunehmen und 

auf das eigene strategische Vorgehen 

im Betrieb zu beziehen. Natürlich sollen 

und können Betriebsräte zusätzlich 

Schulungen gemäß § 37 Abs. 6 BetrVG 

besuchen, betriebliche Auskunftspersonen 

(z.B. Projektleiter) im Rahmen 

des § 80 Abs. 2 Satz 3 BetrVG zur Umsetzung 

des Datenschutzleitfadens befragen 

und mit dem betrieblichen Datenschutzbeauftragten 

kooperieren. 

Übrigens: Der Datenschutz-Leitfaden 

findet sich unter www.dsag.de und 

steht dort als Download bereit.■■ 

77

78 

Gesetzentwurf 

der Bundesregierung 

Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes 

Vorblatt 

A. Problem und Ziel 

Mit dem vorliegenden Gesetzentwurf wird die seit Jahrzehnten diskutierte Schaffung 

umfassender gesetzlicher Regelungen für den Arbeitnehmerdatenschutz verwirklicht. 

Gegenwärtig existieren nur wenige spezifische gesetzliche Vorschriften zum Schutz 

der personenbezogenen Daten von Beschäftigten. Für zahlreiche Fragen der Praxis 

zum Beschäftigtendatenschutz bestehen keine speziellen gesetzlichen Regelungen. 

Teilweise ergibt sich der rechtliche Rahmen für den Beschäftigtendatenschutz aus 

verschiedenen allgemeinen Gesetzen wie dem Bundesdatenschutzgesetz und dem 

Betriebsverfassungsgesetz. Daneben existiert eine Vielzahl an gerichtlichen Einzelfallentscheidungen, 

anhand derer wichtige Grundsätze für den Beschäftigtendatenschutz 

entwickelt worden sind. Jedoch sind insbesondere die gerichtlichen Entscheidungen 

für die betroffenen Beschäftigten teilweise nur schwer zu erschließen. 

Durch klarere gesetzliche Regelungen soll die Rechtssicherheit für Arbeitgeber und 

Beschäftigte erhöht werden. So sollen einerseits die Beschäftigten vor der unrechtmäßigen 

Erhebung und Verwendung ihrer personenbezogenen Daten geschützt 

werden, andererseits soll das Informationsinteresse des Arbeitgebers beachtet werden. 

Beides dient dazu, ein vertrauensvolles Arbeitsklima zwischen Arbeitgebern und 

Beschäftigten am Arbeitsplatz zu unterstützen. 

B. Lösung 

Es werden praxisgerechte Regelungen für Beschäftigte und Arbeitgeber geschaffen, 

die klarstellen, dass nur solche Daten erhoben, verarbeitet und genutzt werden dürfen, 

die für das Beschäftigungsverhältnis erforderlich sind. Mit den Neuregelungen 

werden Beschäftigte an ihrem Arbeitsplatz zudem wirksam vor Bespitzelungen geschützt; 

gleichzeitig werden den Arbeitgebern verlässliche Grundlagen für die Durchsetzung 

von Compliance-Anforderungen und für den Kampf gegen Korruption an die 

Hand gegeben.

C. Alternativen 

Keine 

- 2 - 

D. Finanzielle Auswirkungen auf die öffentlichen Haushalte 

Der Gesetzentwurf hat auf die öffentlichen Haushalte keine bezifferbaren Auswirkungen. 

E. Sonstige Kosten 

Neben den angegebenen Bürokratiekosten entstehen für die Wirtschaft, insbesondere 

für mittelständische Unternehmen, keine zusätzlichen Kosten. Auswirkungen auf 

Einzelpreise und das Preisniveau, insbesondere auf das Verbraucherpreisniveau, 

sind nicht zu erwarten. 

F. Bürokratiekosten 

Für die privaten und öffentlichen Arbeitgeber werden 18 Informationspflichten gegenüber 

ihren Beschäftigten neu eingeführt. 

Für die Bürgerinnen und Bürger wird eine Informationspflicht neu eingeführt. 

79

80 

Entwurf eines 

Gesetzes zur Regelung des Beschäftigtendatenschutzes 

Vom … 

Der Bundestag hat das folgende Gesetz beschlossen: 

Artikel 1 

Änderung des Bundesdatenschutzgesetzes 

Das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 

2003 (BGBl. I S. 66), das zuletzt durch Artikel 1 des Gesetzes vom 14. August 2009 

(BGBl. I S. 2814) geändert worden ist, wird wie folgt geändert: 

1. Die Inhaltsübersicht wird wie folgt geändert: 

a) Nach der Angabe zu § 31 wird folgende Angabe eingefügt: 

„Zweiter Unterabschnitt 

Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“. 

b) Die Angabe zu § 32 wird durch die folgenden Angaben ersetzt: 

„§ 32 Datenerhebung vor Begründung eines Beschäftigungsverhältnisses 

§ 32a Ärztliche Untersuchungen und Eignungstests vor Begründung eines 

Beschäftigungsverhältnisses 

§ 32b Datenverarbeitung und -nutzung vor Begründung eines Beschäftigungsverhältnisses 

§ 32c Datenerhebung im Beschäftigungsverhältnis 

§ 32d Datenverarbeitung und -nutzung im Beschäftigungsverhältnis 

§ 32e Datenerhebung ohne Kenntnis des Beschäftigten zur Aufdeckung 

und Verhinderung von Straftaten und anderen schwerwiegenden 

Pflichtverletzungen im Beschäftigungsverhältnis 

§ 32f Beobachtung nicht öffentlich zugänglicher Betriebsstätten mit optischelektronischen 

Einrichtungen 

§ 32g Ortungssysteme 

§ 32h Biometrische Verfahren 

§ 32i Nutzung von Telekommunikationsdiensten

- 2 - 

§ 32j Unterrichtungspflichten 

§ 32k Änderungen 

§ 32l Einwilligung, Geltung für Dritte, Rechte der Interessenvertretungen, 

Beschwerderecht, Unabdingbarkeit“. 

c) Nach der Angabe zu § 32l wird die Angabe zum bisherigen zweiten Unterabschnitt 

wie folgt gefasst: 

„Dritter Unterabschnitt 

Rechte des Betroffenen“. 

d) Nach der Angabe zu § 35 wird die Angabe zum bisherigen dritten Unterabschnitt 


„Vierter Unterabschnitt 

Aufsichtsbehörde“. 

2. Dem § 3 werden die folgenden Absätze 12 und 13 angefügt: 

„(12) Beschäftigtendaten sind personenbezogene Daten von Beschäftigten. 

(13) Arbeitgeber sind öffentliche und nichtöffentliche Stellen, die 

1. Personen nach Absatz 11 beschäftigen oder beschäftigten oder 

2. beabsichtigen, Personen nach Absatz 11 zu beschäftigen. 

Bei in Heimarbeit Beschäftigten und ihnen Gleichgestellten sind Arbeitgeber die 

Auftraggeber oder Zwischenmeister im Sinne des Heimarbeitsgesetzes, bei 

Beschäftigten, die Dritten zur Arbeitsleistung überlassen werden, auch die Dritten.“ 

3. Dem § 4 Absatz 1 wird folgender Satz angefügt: 

„Andere Rechtsvorschriften im Sinne dieses Gesetzes sind auch Betriebs- und 

Dienstvereinbarungen.“ 

4. In § 12 Absatz 4 werden die Wörter „§ 28 Absatz 2 Nummer 2 und die §§ 32 bis 

35“ durch die Wörter „die §§ 32 bis 34 Absatz 1 Satz 1 und 2, § 34 Absatz 6 bis 8 

Satz 1 und § 35“ ersetzt. 

81

82 

- 3 - 

5. Dem § 27 wird folgender Absatz 3 angefügt: 

„(3) Für das Erheben, Verarbeiten und Nutzen von Beschäftigtendaten durch den Arbeitgeber 

für Zwecke eines früheren, bestehenden oder zukünftigen Beschäftigungsverhältnisses 

gelten die Vorschriften des zweiten, dritten und vierten Unterabschnitts. 

Satz 1 gilt auch, wenn Beschäftigtendaten erhoben, verarbeitet oder genutzt werden, 

ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten 

Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer 

solchen Datei erhoben werden.“ 

6. Nach § 31 wird folgende Überschrift eingefügt: 

„Zweiter Unterabschnitt 

Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhält- 

nisses“. 

7. § 32 wird durch die folgenden §§ 32 bis 32l ersetzt: 

„§ 32 Datenerhebung vor Begründung eines Beschäftigungsverhältnisses 

(1) Der Arbeitgeber darf den Namen, die Anschrift, die Telefonnummer und die Adresse 

der elektronischen Post eines Beschäftigten im Sinne des § 3 Absatz 11 

Nummer 7 erste Alternative vor Begründung eines Beschäftigungsverhältnisses erheben. 

Weitere personenbezogene Daten darf er erheben, soweit die Kenntnis dieser 

Daten erforderlich ist, um die Eignung des Beschäftigten für die vorgesehenen Tätigkeiten 

festzustellen. Er darf zu diesem Zweck insbesondere Daten über die fachlichen 

und persönlichen Fähigkeiten, Kenntnisse und Erfahrungen sowie über die Ausbildung 

und den bisherigen beruflichen Werdegang des Beschäftigten erheben. 

(2) Daten eines Beschäftigten über die rassische und ethnische Herkunft, die Religion 

oder Weltanschauung, eine Behinderung, die sexuelle Identität, die Gesundheit, 

die Vermögensverhältnisse, Vorstrafen oder laufende Ermittlungsverfahren dürfen 

nur unter den Voraussetzungen erhoben werden, unter denen nach § 8 Absatz 1 des 

Allgemeinen Gleichbehandlungsgesetzes eine unterschiedliche Behandlung zulässig 

ist. Die Vorschriften des Bundeszentralregistergesetzes bleiben unberührt.

- 4 - 

(3) Der Arbeitgeber darf von dem Beschäftigten keine Auskunft darüber verlangen, ob 

eine Schwerbehinderung oder Gleichstellung mit einer Schwerbehinderung nach § 68 

des Neunten Buches Sozialgesetzbuch vorliegt. 

(4) Soll eine Beschäftigung bei einer Religionsgemeinschaft, einer ihr zugeordneten 

Einrichtung oder bei einer Vereinigung erfolgen, die sich die gemeinschaftliche Pflege 

einer Religion oder Weltanschauung zur Aufgabe gemacht hat, darf der Arbeitgeber 

auch Daten über die religiöse Überzeugung, die Religionszugehörigkeit oder die 

Weltanschauung des Beschäftigten erheben, wenn die religiöse Überzeugung, die 

Religionszugehörigkeit oder die Weltanschauung unter Beachtung des Selbstverständnisses 

der jeweiligen Religionsgemeinschaft oder Vereinigung im Hinblick auf 

ihr Selbstbestimmungsrecht oder nach der Art der Tätigkeit eine gerechtfertigte berufliche 

Anforderung darstellt. 

(5) Ein Arbeitgeber, dessen Tätigkeit unmittelbar und überwiegend politisch oder koalitionspolitisch 

ausgerichtet ist oder der Zwecke der Berichterstattung oder Meinungsäußerung 

verfolgt, auf die Artikel 5 Absatz 1 Satz 2 des Grundgesetzes anzuwenden 

ist, darf auch Daten über die politische Meinung und Gewerkschaftszugehörigkeit 

des Beschäftigten erheben, soweit die politische Meinung oder die Gewerkschaftszugehörigkeit 

im Hinblick auf die Ausrichtung des Arbeitgebers und die Art der 

Tätigkeit eine gerechtfertigte berufliche Anforderung darstellt. Ein Arbeitgeber, dessen 

Tätigkeit Zwecke der Berichterstattung oder Meinungsäußerung verfolgt, auf die 

Artikel 5 Absatz 1 Satz 2 des Grundgesetzes anzuwenden ist, darf Daten über die 

religiöse Überzeugung, die Religionszugehörigkeit oder die Weltanschauung des Beschäftigten 

erheben, soweit die religiöse Überzeugung, die Religionszugehörigkeit 

oder die Weltanschauung wegen der Art der auszuübenden Tätigkeit oder der Bedingungen 

ihrer Ausübung eine wesentliche und entscheidende berufliche Anforderung 

darstellt. 

(6) Beschäftigtendaten sind unmittelbar bei dem Beschäftigten zu erheben. Wenn der 

Arbeitgeber den Beschäftigten vor der Erhebung hierauf hingewiesen hat, darf der 

Arbeitgeber allgemein zugängliche Daten ohne Mitwirkung des Beschäftigten erheben, 

es sei denn, dass das schutzwürdige Interesse des Beschäftigten an dem Ausschluss 

der Erhebung das berechtigte Interesse des Arbeitgebers überwiegt. Bei Daten 

aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, überwiegt 

das schutzwürdige Interesse des Beschäftigten; dies gilt nicht für soziale Netzwerke, 

die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt 

sind. Mit Einwilligung des Beschäftigten darf der Arbeitgeber auch bei sonstigen Dritten 

83

84 

- 5 - 

personenbezogene Daten des Beschäftigten erheben; dem Beschäftigten ist auf Verlangen 

über den Inhalt der erhobenen Daten Auskunft zu erteilen. Die Absätze 1 bis 

5 sowie § 32a bleiben unberührt. 

(7) Die Datenerhebung ist nur zulässig, wenn Art und Ausmaß im Hinblick auf den 

Zweck verhältnismäßig sind. 

§ 32a Ärztliche Untersuchungen und Eignungstests vor Begründung eines Beschäftigungsverhältnisses 

(1) Der Arbeitgeber darf die Begründung des Beschäftigungsverhältnisses von einer 

ärztlichen Untersuchung abhängig machen, wenn und soweit die Erfüllung bestimmter 

gesundheitlicher Voraussetzungen wegen der Art der auszuübenden Tätigkeit 

oder der Bedingungen ihrer Ausübung eine wesentliche und entscheidende berufliche 

Anforderung zum Zeitpunkt der Arbeitsaufnahme darstellt. Der Beschäftigte 

muss in die Untersuchung nach Aufklärung über deren Art und Umfang sowie in die 

Weitergabe des Untersuchungsergebnisses an den Arbeitgeber eingewilligt haben. 

Dem Beschäftigten ist das vollständige Untersuchungsergebnis mitzuteilen. Dem Arbeitgeber 

darf nur mitgeteilt werden, ob der Beschäftigte nach dem Untersuchungsergebnis 

für die vorgesehenen Tätigkeiten geeignet ist. 

(2) Der Arbeitgeber darf die Begründung des Beschäftigungsverhältnisses von einer 

sonstigen Untersuchung oder Prüfung abhängig machen, wenn die Untersuchung 

oder Prüfung wegen der Art der auszuübenden Tätigkeit oder der Bedingungen ihrer 

Ausübung erforderlich ist, um festzustellen, ob der Beschäftigte zum Zeitpunkt der Arbeitsaufnahme 

für die vorgesehenen Tätigkeiten geeignet ist (Eignungstest). Der Beschäftigte 

muss in den Eignungstest nach Aufklärung über dessen Art und Umfang 

sowie in die Weitergabe des Ergebnisses des Eignungstests an den Arbeitgeber eingewilligt 

haben. Der Eignungstest ist nach wissenschaftlich anerkannten Methoden 

durchzuführen, sofern solche bestehen. Dem Beschäftigten ist das Ergebnis des Eignungstests 

mitzuteilen. Sind Eignungstests ganz oder teilweise durch Personen durchzuführen, 

die einer beruflichen Schweigepflicht unterliegen, darf dem Arbeitgeber insoweit 

nur mitgeteilt werden, ob der Beschäftigte nach dem Ergebnis des Eignungstests 

für die vorgesehenen Tätigkeiten geeignet ist

- 6 - 

§ 32b Datenverarbeitung und -nutzung vor Begründung eines Beschäfti- 

gungsverhältnisses 

(1) Der Arbeitgeber darf Beschäftigtendaten, die er nach den §§ 32 oder 32a erhoben 

hat, verarbeiten und nutzen, soweit dies erforderlich ist, um die Eignung des Beschäftigten 

für die vorgesehenen Tätigkeiten festzustellen oder um über die Begründung des 

Beschäftigungsverhältnisses zu entscheiden. 

(2) Beschäftigtendaten, die der Arbeitgeber ohne Datenerhebung nach den §§ 32 oder 

32a erhalten hat, darf er nur verarbeiten und nutzen, soweit 

1. dies erforderlich ist, um die Eignung des Beschäftigten für die vorgesehenen Tätigkeiten 

festzustellen oder um über die Begründung des Beschäftigungsverhältnisses zu entscheiden, 

und 

2. er diese Daten nach §§ 32 oder 32a hätte erheben dürfen. 

Satz 1 Nummer 2 gilt nicht, wenn der Beschäftigte die Daten dem Arbeitgeber übermittelt 

hat, ohne dass der Arbeitgeber hierzu Veranlassung gegeben hat. 

(3) Steht fest, dass ein Beschäftigungsverhältnis nicht begründet wird, sind die Beschäftigtendaten 

gemäß § 35 Absatz 2 Satz 2 zu löschen, es sei denn, dass der Beschäftigte 

in die weitere Speicherung eingewilligt hat. 

§ 32c Datenerhebung im Beschäftigungsverhältnis 

(1) Beschäftigtendaten dürfen vorbehaltlich der §§ 32e bis 32i erhoben werden, wenn 

dies für die Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses 

erforderlich ist. Dies ist insbesondere der Fall, soweit die Kenntnis dieser Daten 

für den Arbeitgeber erforderlich ist, um 

1. gesetzliche oder auf Grund eines Gesetzes bestehende Erhebungs-, Melde-, 

Auskunfts-, Offenlegungs- oder Zahlungspflichten zu erfüllen, 

2. die gegenüber dem Beschäftigten bestehenden Pflichten zu erfüllen oder 

3. die gegenüber dem Beschäftigten bestehenden Rechte des Arbeitgebers 

einschließlich der Leistungs- und Verhaltenskontrolle wahrzunehmen. 

85

86 

- 7 - 

§ 32 Absatz 2 Satz 2 und Absatz 6 gilt entsprechend. 

(2) § 32 Absatz 2 bis 5 gilt entsprechend für die Feststellung, ob der Beschäftigte 

fachlich geeignet ist, eine andere oder veränderte Tätigkeit aufzunehmen oder an 

einen anderen Arbeitsplatz zu wechseln. 

(3) Der Arbeitgeber darf von einem Beschäftigten die Teilnahme an einer ärztlichen 

Untersuchung nach Maßgabe des § 32a Absatz 1 sowie die Teilnahme an einem 

Eignungstest nach Maßgabe des § 32a Absatz 2 verlangen, soweit dies erforderlich 

ist, um die Eignung des Beschäftigten zu überprüfen, wenn 

1. tatsächliche Anhaltspunkte vorliegen, die Zweifel an der fortdauernden Eignung des 

Beschäftigten begründen, oder 

2. ein Wechsel seiner Tätigkeit oder seines Arbeitsplatzes beabsichtigt ist. 

(4) Die Datenerhebung ist nur zulässig, soweit Art und Ausmaß im Hinblick auf den 

Zweck verhältnismäßig sind. 

§ 32d Datenverarbeitung und -nutzung im Beschäftigungsverhältnis 

(1) Der Arbeitgeber darf Beschäftigtendaten verarbeiten und nutzen, soweit 

1. sie nach den §§ 32, 32a oder 32c erhoben worden sind, 

2. dies erforderlich ist zur Erfüllung der Zwecke, für die die Daten erhoben worden 

sind, oder zur Erfüllung anderer Zwecke, für die der Arbeitgeber sie nach den Vorschriften 

dieses Unterabschnitts hätte erheben dürfen, und 

3. dies nach Art und Ausmaß im Hinblick auf den Zweck verhältnismäßig ist. 

(2) Beschäftigtendaten, die der Arbeitgeber ohne Datenerhebung nach den §§ 32, 

32a oder 32c erhalten hat, darf er nur verarbeiten und nutzen, soweit 

1. dies für die Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses 

erforderlich und nach Art und Ausmaß im Hinblick auf den Zweck verhältnismäßig 

ist und 

2. er sie nach den §§ 32, 32a oder 32c hätte erheben dürfen. 

(3) Der Arbeitgeber darf zur Aufdeckung von Straftaten oder anderen schwerwiegenden 

Pflichtverletzungen durch Beschäftigte im Beschäftigungsverhältnis, insbesondere 

zur Aufdeckung von Straftaten nach den §§ 266, 299, 331 bis 334 des Strafge-

- 8 - 

setzbuchs, einen automatisierten Abgleich von Beschäftigtendaten in anonymisierter 

oder pseudonymisierter Form mit von ihm geführten Dateien durchführen. Ergibt sich 

ein Verdachtsfall, dürfen die Daten personalisiert werden. Der Arbeitgeber hat die 

näheren Umstände, die ihn zu einem Abgleich nach Satz 1 veranlassen, zu dokumentieren. 

Die Beschäftigten sind über Inhalt, Umfang und Zweck des automatisierten 

Abgleichs zu unterrichten, sobald der Zweck durch die Unterrichtung nicht mehr 

gefährdet wird. 

(4) Ein Dritter, an den Beschäftigtendaten übermittelt worden sind, darf diese nur für 

den Zweck verarbeiten und nutzen, zu dessen Erfüllung sie ihm übermittelt wurden. 

Der Arbeitgeber hat ihn darauf hinzuweisen. 

(5) Der Arbeitgeber darf die nach § 32 Absatz 1 bis 6 sowie nach den §§ 32a und 

32c Absatz 1 bis 3 erhobenen Beschäftigtendaten nicht in einer Weise verarbeiten 

und nutzen, dass sie durch die automatisierte Zusammenführung einzelner Lebensund 

Personaldaten ein Gesamtbild der wesentlichen geistigen und charakterlichen 

Eigenschaften oder des Gesundheitszustandes des Beschäftigten ergeben. 

§ 32e Datenerhebung ohne Kenntnis des 

Beschäftigten zur Aufdeckung und Verhinderung von Straftaten und anderen 

schwerwiegenden Pflichtverletzungen im Beschäftigungsverhältnis 

(1) Der Arbeitgeber darf Beschäftigtendaten nur mit Kenntnis des Beschäftigten erheben. 

(2) Der Arbeitgeber darf Beschäftigtendaten ohne Kenntnis des Beschäftigten nur 

erheben, wenn 

1. Tatsachen den Verdacht begründen, dass der Beschäftigte im Beschäftigungsverhältnis 

eine Straftat oder eine andere schwerwiegende Pflichtverletzung begangen 

hat, die den Arbeitgeber bei einem Arbeitnehmer zu einer Kündigung aus wichtigem 

Grund berechtigen würde, und 

2. die Erhebung erforderlich ist, um 

die Straftat oder die andere schwerwiegende Pflichtverletzung aufzudecken oder um 

damit im Zusammenhang stehende weitere Straftaten oder schwerwiegende Pflichtverletzungen 

des Beschäftigten zu verhindern. 

87

88 

- 9 - 

(3) Die Erhebung nach Absatz 2 muss nach Art und Ausmaß im Hinblick auf den Anlass 

verhältnismäßig sein. Sie ist nur zulässig, wenn die Erforschung des Sachverhalts 

auf andere Weise erschwert oder weniger erfolgversprechend wäre. Die Erhebung 

ist abzubrechen, wenn der Zweck nicht zu erreichen ist; sie ist zu unterbrechen, 

wenn der Zweck nur vorübergehend nicht zu erreichen ist. Die Dauer ist auf das Unerlässliche 

zu beschränken. 

(4) In den Fällen des Absatzes 2 ist die Erhebung von Beschäftigtendaten unzulässig, 

wenn sie erfolgt mit Hilfe 

1. einer planmäßig angelegten Beobachtung, die länger als 24 Stunden ohne Unterbrechung 

oder an mehr als vier Tagen stattfinden soll, 

2. technischer Mittel zum Abhören oder Aufzeichnen des nicht öffentlich gesprochenen 

Wortes oder 

3. sonstiger besonderer technischer Mittel, die für Beobachtungszwecke bestimmt 

sind. 

Satz 1 Nr. 3 gilt nicht für den Einsatz von Ferngläsern und Fotoapparaten. 

(5) Der Arbeitgeber darf die nach Absatz 2 erhobenen Daten nur für die Zwecke, für 

die sie erhoben wurden, verarbeiten und nutzen. Die den Verdacht begründenden 

Tatsachen sind vor der Datenerhebung zu dokumentieren. Die näheren Umstände 

der Datenerhebung nach den Absätzen 2 bis 4 sind unverzüglich nach der Datenerhebung 

zu dokumentieren. § 4d Absatz 5 ist anzuwenden. Der Beschäftigte ist über 

die Erhebung, Verarbeitung oder Nutzung zu unterrichten, sobald deren Zweck durch 

die Unterrichtung nicht mehr gefährdet wird. 

(6) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks 

nicht mehr erforderlich sind oder schutzwürdige Interessen des Beschäftigten einer 

weiteren Speicherung entgegenstehen. Der Grund der Speicherung der Daten und 

die Löschung sind zu dokumentieren. Die Dokumentation darf ausschließlich für 

Zwecke der Datenschutzkontrolle verwendet werden. Die Dokumentation ist zu löschen, 

wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am 

Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. 

(7) Daten, die den Kernbereich privater Lebensgestaltung betreffen, darf der Arbeitgeber 

nicht erheben, verarbeiten oder nutzen. Wurden solche Daten entgegen Satz 1 

gespeichert, sind sie unverzüglich zu löschen. Absatz 6 Satz 2 bis 4 ist entsprechend 

anzuwenden.

- 10 - 

§ 32f Beobachtung nicht öffentlich zugänglicher Betriebsstätten mit optisch- 

elektronischen Einrichtungen 

(1) Die Beobachtung nicht öffentlich zugänglicher Betriebsgelände, Betriebsgebäude 

oder Betriebsräume (Betriebsstätten) mit optisch-elektronischen Einrichtungen (Videoüberwachung), 

die auch zur Erhebung von Beschäftigtendaten geeignet ist, ist 

nur zulässig 

1. zur Zutrittskontrolle, 

2. zur Wahrnehmung des Hausrechts, 

3. zum Schutz des Eigentums, 

4. zur Sicherheit des Beschäftigten, 

5. zur Sicherung von Anlagen, 

6. zur Abwehr von Gefahren für die Sicherheit des Betriebes, 

7. zur Qualitätskontrolle, 

soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich ist und wenn 

nach Art und Ausmaß der Videoüberwachung keine Anhaltspunkte dafür bestehen, 

dass schutzwürdige Interessen der Betroffenen am Ausschluss der Datenerhebung 

überwiegen. Der Arbeitgeber hat den Umstand der Videoüberwachung durch geeignete 

Maßnahmen erkennbar zu machen. § 6b Absatz 3 und 4 gilt entsprechend. Die 

Sätze 1 und 2 gelten entsprechend, wenn von einer Einrichtung lediglich der Anschein 

einer Videoüberwachung ausgeht. 

(2) Eine Videoüberwachung von Teilen von Betriebsstätten, die überwiegend der 

privaten Lebensgestaltung des Beschäftigten dienen, ist unzulässig. Dies gilt insbesondere 

für Sanitär-, Umkleide- und Schlafräume. 

(3) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Speicherungszwecks 

nicht mehr erforderlich sind oder schutzwürdige Interessen des Beschäftigten 

einer weiteren Speicherung entgegenstehen. 

89

90 

- 11 - 

§ 32g Ortungssysteme 

(1) Der Arbeitgeber darf Beschäftigtendaten durch elektronische Einrichtungen zur 

Bestimmung eines geografischen Standortes (Ortungssysteme) nur erheben, verarbeiten 

und nutzen, soweit dies aus betrieblichen Gründen erforderlich ist 

1. zur Sicherheit des Beschäftigten oder 

2. zur Koordinierung des Einsatzes des Beschäftigten 

und wenn keine Anhaltspunkte bestehen, dass schutzwürdige Interessen des Beschäftigten 

am Ausschluss der Datenerhebung, -verarbeitung oder -nutzung überwiegen. 

Eine Erhebung nach Satz 1 darf nur während der Arbeitszeit des Beschäftigten 

erfolgen. Der Arbeitgeber hat den Einsatz des Ortungssystems durch geeignete 

Maßnahmen für den Beschäftigten erkennbar zu machen und ihn über den Umfang 

der Aufzeichnungen und deren regelmäßige oder im Einzelfall vorgesehene Auswertung 

zu informieren. Beschäftigtendaten, die beim Einsatz von Ortungssystemen erhoben 

werden, dürfen nicht zu anderen Zwecken als nach Satz 1 verarbeitet oder 


(2) Der Arbeitgeber darf Ortungssysteme auch zum Schutz beweglicher Sachen einsetzen. 

In diesem Fall darf eine Ortung des Beschäftigten nicht erfolgen, solange der 

Beschäftigte die bewegliche Sache erlaubterweise nutzt oder diese sich erlaubterweise 

in seiner Obhut befindet. 

(3) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks der 

Speicherung nicht mehr erforderlich sind oder schutzwürdige Interessen des Beschäftigten 


§ 32h Biometrische Verfahren 

(1) Der Arbeitgeber darf biometrische Merkmale eines Beschäftigten nur erheben, 

verarbeiten und nutzen, soweit dies aus betrieblichen Gründen zu Autorisierungs- und 

Authentifikationszwecken erforderlich ist und keine schutzwürdigen Interessen des Beschäftigten 

am Ausschluss der Datenerhebung, -verarbeitung und -nutzung überwiegen. 

Daten in Form von Lichtbildern eines Beschäftigten darf der Arbeitgeber auch zu 

anderen Zwecken erheben, verarbeiten und nutzen, soweit der Beschäftigte eingewilligt 

hat.

- 12 - 

(2) Biometrische Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des 

Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen des Beschäftigten 


§ 32i Nutzung von Telekommunikationsdiensten 

(1) Soweit dem Beschäftigten die Nutzung von Telekommunikationsdiensten ausschließlich 

zu beruflichen oder dienstlichen Zwecken erlaubt ist, darf der Arbeitgeber 

bei dieser Nutzung anfallende Daten nur erheben, verarbeiten und nutzen, soweit dies 

erforderlich ist 

1. zur Gewährleistung des ordnungsgemäßen Betriebs von Telekommunikationsnetzen 

oder Telekommunikationsdiensten, einschließlich der Datensicherheit, 

2. zu Abrechnungszwecken oder 

3. zu einer stichprobenartigen oder anlassbezogenen Leistungs- oder Verhaltenskontrolle 

und soweit keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen des 

Beschäftigten an einem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegen. 

Werden nach Satz 1 Nummer 3 erhobene Daten einem bestimmten Beschäftigten 

zugeordnet, ist dieser über eine Verarbeitung und Nutzung zu unterrichten, sobald 

der Zweck der Verarbeitung oder Nutzung durch die Unterrichtung nicht mehr gefährdet 

wird. 

(2) Inhalte einer ausschließlich zu beruflichen oder dienstlichen Zwecken erlaubten 

Nutzung von Telefondiensten darf der Arbeitgeber nur erheben, verarbeiten und nutzen, 

soweit dies zur Wahrung seiner berechtigten Interessen erforderlich ist und der 

Beschäftigte und seine Kommunikationspartner im Einzelfall vorher darüber informiert 

worden sind und darin eingewilligt haben. Ist die ausschließlich zu beruflichen oder 

dienstlichen Zwecken erbrachte telefonische Dienstleistung wesentlicher Inhalt der 

geschuldeten Arbeitsleistung, darf der Arbeitgeber Inhalte dieser Nutzung ohne Kenntnis 

des Beschäftigten im Einzelfall zu einer stichprobenartigen oder anlassbezogenen 

Leistungs- oder Verhaltenskontrolle erheben, verarbeiten und nutzen, wenn 

1. der Beschäftigte in geeigneter Weise vorab darüber informiert worden ist, dass er in 

einem eingegrenzten Zeitraum mit einer Kontrolle zu rechnen hat, und 

2. die Kommunikationspartner des Beschäftigten über die Möglichkeit der Erhebung, 

Verarbeitung und Nutzung informiert worden sind und darin eingewilligt haben. 

91

92 

- 13 - 

Der Arbeitgeber hat den Beschäftigten unverzüglich über die Erhebung, Verarbeitung 

und Nutzung der Inhaltsdaten nach Satz 2 zu unterrichten. 

(3) Inhalte einer ausschließlich zu beruflichen oder dienstlichen Zwecken erlaubten 

Nutzung von anderen als in Absatz 2 genannten Telekommunikationsdiensten darf 

der Arbeitgeber erheben, verarbeiten und nutzen, soweit dies zu den in Absatz 1 

Nummer 1 oder 3 genannten Zwecken erforderlich ist und keine Anhaltspunkte dafür 

bestehen, dass das schutzwürdige Interesse des Beschäftigten an dem Ausschluss 

der Erhebung, Verarbeitung oder Nutzung überwiegt. Dies gilt auch, soweit es für den 

ordnungsgemäßen Dienst- oder Geschäftsbetrieb des Arbeitgebers in den Fällen einer 

Versetzung, Abordnung oder Abwesenheit erforderlich ist. Ohne Kenntnis des 

Beschäftigten darf eine Erhebung nach Satz 1 in Verbindung mit Absatz 1 Satz 1 

Nummer 3 nur nach Maßgabe des § 32e Absatz 2 bis 7 erfolgen. 

(4) Nach Abschluss einer Telekommunikation gelten für die Erhebung, Verarbeitung 

und Nutzung der Daten und Inhalte die §§ 32c und 32d. Der Arbeitgeber 

darf private Daten und Inhalte nur erheben, verarbeiten und nutzen, wenn dies 

zur Durchführung des ordnungsgemäßen Dienst- oder Geschäftsbetriebes unerlässlich 

ist und er den Beschäftigten hierauf schriftlich hingewiesen hat. 

§ 32j Unterrichtungspflichten 

Stellt ein Arbeitgeber fest, dass bei ihm gespeicherte Beschäftigtendaten unrechtmäßig 

übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt 

sind, hat er dies unverzüglich den Betroffenen mitzuteilen. Drohen schwerwiegende 

Beeinträchtigungen der Rechte oder schutzwürdiger Interessen der Beschäftigten, 

hat der Arbeitgeber auch die zuständige Aufsichtsbehörde unverzüglich zu 

unterrichten. § 42a Satz 3 bis 4 und 6 gilt entsprechend. 

§ 32k Änderungen 

Der Arbeitgeber hat Dritten, an die er Beschäftigtendaten übermittelt hat, die Änderung, 

Löschung oder Sperrung dieser Daten unverzüglich mitzuteilen, es sei denn, 

die Mitteilung ist nicht erforderlich, um schutzwürdige Interessen der Beschäftigten 

zu wahren.

- 14 - 

§ 32l Einwilligung, Geltung für Dritte, Rechte der Interessenvertretungen, Be- 

schwerderecht, Unabdingbarkeit 

(1) Die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten durch den 

Arbeitgeber auf Grund einer Einwilligung des Beschäftigten ist abweichend von § 4 

Absatz 1 nur zulässig, soweit dies in den Vorschriften dieses Unterabschnitts ausdrücklich 

vorgesehen ist. 

(2) Die Vorschriften dieses Unterabschnitts gelten entsprechend für Dritte, die für den 

Arbeitgeber beim Erheben, Verarbeiten und Nutzen von Beschäftigtendaten tätig 

werden. 

(3) Die Rechte der Interessenvertretungen der Beschäftigten bleiben unberührt. 

(4) Bestehen tatsächliche Anhaltspunkte, die den Verdacht begründen, dass der 

Arbeitgeber Beschäftigtendaten unbefugt erhebt, verarbeitet oder nutzt, kann sich 

der Beschäftigte an die für die Datenschutzkontrolle zuständige Behörde wenden, 

wenn der Arbeitgeber einer darauf gerichteten Beschwerde des Beschäftigten 

nicht unverzüglich abhilft. 

(5) Von den Vorschriften dieses Unterabschnitts darf nicht zu Ungunsten der Beschäftigten 

abgewichen werden.“ 

8. Die Überschrift des bisherigen zweiten Unterabschnitts des dritten Abschnitts wird 


„Dritter Unterabschnitt 

Rechte des Betroffenen“. 

9. Die Überschrift des bisherigen dritten Unterabschnitts des dritten Abschnitts wird 


„Vierter Unterabschnitt 

Aufsichtsbehörde“. 

93

94 

- 15 - 

10. In § 43 Absatz 1 werden nach Nummer 7b 

die folgenden Nummern 7c bis 7g eingefügt: 

„7c. entgegen § 32d Absatz 3 Satz 4, § 32e Absatz 5 Satz 5 oder § 32i Absatz 

2 Satz 3 den Beschäftigten nicht, nicht richtig oder nicht vollständig oder nicht 

rechtzeitig unterrichtet, 

7d. entgegen § 32f Absatz 1 Satz 2 den Umstand der Beobachtung nicht erkennbar 

macht, 

7e. entgegen § 32g Absatz 1 Satz 3 den Einsatz des Ortungssystems nicht erkennbar 

macht, 

7f. entgegen § 32j Satz 1 oder § 32k eine Mitteilung nicht, nicht richtig, nicht 

vollständig oder nicht rechtzeitig macht, 

7g. entgegen § 32j Satz 2 die Aufsichtsbehörde nicht, nicht richtig, nicht vollständig 

oder nicht rechtzeitig unterrichtet. 

Artikel 2 

Änderung des Bundesverfassungsschutzgesetzes 

§ 27 des Bundesverfassungsschutzgesetzes vom 20. Dezember 1990 (BGBl. I S. 

2954, 2970), das zuletzt durch Artikel 1a des Gesetzes vom 31. Juli 2009 (BGBl. I S. 

2499) geändert worden ist, wird wie folgt geändert: 

1. Im Wortlaut werden die Wörter „nach § 3 durch das Bundesamt für Verfassungs- 

schutz“ durch die Wörter „des Bundesamtes für Verfassungsschutz nach diesem Ge- 

setz“ ersetzt. 

2. Folgender Satz wird angefügt: 

„Die Befugnisse des Bundesamtes für Verfassungsschutz zum Schutz seiner Mitar- 

beiter, Einrichtungen, Gegenstände und Quellen gegen sicherheitsgefährdende oder 

geheimdienstliche Tätigkeiten nach dem Zweiten Abschnitt werden durch die an- 

wendbaren Vorschriften der §§ 32 bis §32l des Bundesdatenschutzgesetzes nicht 

eingeschränkt.“

- 16 - 

Artikel 3 

Änderung des MAD-Gesetzes 

§ 13 des MAD-Gesetzes vom 20. Dezember 1990 (BGBl. I S. 2954, 2977), das zu- 

letzt durch Artikel 3 und 10 Absatz 2 des Gesetzes vom 5. Januar 2007 (BGBl. I S. 2) 

geändert worden ist, wird wie folgt geändert: 

1. Im Wortlaut werden die Wörter „nach § 1 Abs. 1 bis 3, § 2 und § 14“ durch die 

Wörter „des Militärischen Abschirmdienstes nach diesem Gesetz“ ersetzt. 

2. Folgender Satz wird angefügt: 

„Die Befugnisse des Militärischen Abschirmdienstes zum Schutz seiner Mitarbeiter, 

Einrichtungen, Gegenstände und Quellen gegen sicherheitsgefährdende oder ge- 

heimdienstliche Tätigkeiten nach § 5 Nummer 2 werden durch die anwendbaren Vor- 

schriften der §§ 32 bis §32l des Bundesdatenschutzgesetzes nicht eingeschränkt.“ 

Artikel 4 

Änderung des BND-Gesetzes 

§ 11 des BND-Gesetzes vom 20. Dezember 1990 (BGBl. I S. 2954, 2979), das zu- 

letzt durch Artikel 1b des Gesetzes vom 31. Juli 2009 (BGBl. I S. 2499) geändert 

worden ist, wird wie folgt gefasst: 

„§ 11 

Geltung des Bundesdatenschutzgesetzes 

Bei der Erfüllung der Aufgaben des Bundesnachrichtendienstes sind § 3 Absatz 2 

und 8 Satz 1, § 4 Absatz 2 und 3 sowie die §§ 4b, 4c, 10 und 13 bis 20 des Bundes- 

datenschutzgesetzes nicht anzuwenden. Die Befugnisse des Bundesnachrichten- 

dienstes zum Schutz seiner Mitarbeiter, Einrichtungen, Gegenstände und Quellen 

gegen sicherheitsgefährdende oder geheimdienstliche Tätigkeiten nach den §§ 2 bis 

95

96 

- 17 - 

6 werden durch die anwendbaren Vorschriften der §§ 32 bis 32l des Bundesdaten- 

schutzgesetzes nicht eingeschränkt.“ 

Artikel 5 

Änderung des Bundesbeamtengesetzes 

Dem § 106 des Bundesbeamtengesetzes vom 5. Februar 2009 (BGBl. I S. 160), 

das zuletzt durch Artikel 11 des Gesetzes vom … Juli 2010 (BGBl. I S. …) geändert 

worden ist, wird folgender Absatz 5 angefügt: 

„(5) Die §§ 32 bis 32l des Bundesdatenschutzgesetzes gelten nicht für Personalaktendaten. 

Für personenbezogene Daten von Bewerberinnen und Bewerbern, Beamtinnen 

und Beamten sowie ehemaligen Beamtinnen und ehemaligen Beamten, die 

nach Absatz 1 Satz 4 bis 6 nicht zur Personalakte gehören, gelten die §§ 32e bis 

32l des Bundesdatenschutzgesetzes; die §§ 32b und 32d des Bundesdatenschutzgesetzes 

gelten insoweit entsprechend mit der Maßgabe, dass Absatz 4 an die Stelle 

der §§ 32, 32a und 32c des Bundesdatenschutzgesetzes tritt.“ 

Artikel 6 

Änderung des Soldatengesetzes 

§ 29 Absatz 2 Satz 2 des Soldatengesetzes in der Fassung der Bekanntmachung 

vom 30. Mai 2005 (BGBl. I S. 1482), das zuletzt durch Artikel 10 des Gesetzes vom 

5. Februar 2009 (BGBl. I S. 160) geändert worden ist, wird durch die folgenden Sätze 

ersetzt: 

„Die §§ 32 bis 32l des Bundesdatenschutzgesetzes gelten nicht für Personalaktendaten. 

Für personenbezogene Daten von Bewerbern, Soldaten und früheren Soldaten, 

die nach Absatz 1 Satz 3 und 4 nicht zur Personalakte gehören, gelten die §§ 

32e bis 32l des Bundesdatenschutzgesetzes; die §§ 32b und 32d des Bundesdatenschutzgesetzes 

gelten insoweit entsprechend mit der Maßgabe, dass Satz 1 an 

die Stelle der §§ 32, 32a und 32c des Bundesdatenschutzgesetzes tritt.“

- 18 - 

Artikel 7 

Inkrafttreten 

Dieses Gesetz tritt am …[einsetzen: Datum des ersten Tages des sechsten auf die 

Verkündung folgenden Monats] in Kraft. 

97

98 

Begründung 

A. Allgemeiner Teil 

I. Ziel und Inhalt des Entwurfs 

Ziel des Gesetzentwurfs ist es, praxisgerechte Regelungen für Beschäftigte im Sinne 

des § 3 Absatz 11 BDSG zu schaffen. Es sollen für Zwecke des Beschäftigungsverhältnisses 

nur solche Daten verarbeitet werden dürfen, die für dieses Verhältnis erforderlich 

sind. Datenverarbeitungen, die sich beispielsweise auf für das Beschäftigungsverhältnis 

nicht relevantes außerdienstliches Verhalten oder auf nicht dienstrelevante 

Gesundheitszustände beziehen, sollen (zukünftig) ausgeschlossen sein. Mit 

den Neuregelungen sollen Mitarbeiter an ihrem Arbeitsplatz zudem wirksam vor Bespitzelungen 

geschützt und gleichzeitig den Arbeitgebern verlässliche Grundlagen für 

die Durchsetzung von Compliance-Anforderungen und den Kampf gegen Korruption 

an die Hand gegeben werden. 

Der Gesetzentwurf enthält daher Regelungen für die Erhebung, Verarbeitung und 

Nutzung von Beschäftigtendaten vor und nach Begründung eines Beschäftigungsverhältnisses. 

´ 

Das immer wieder angesprochene Thema der Einräumung von vereinfachten 

Übermittlungsmöglichkeiten im Rahmen von Unternehmenszusammenschlüssen 

konnte in diesem Gesetzentwurf keiner abschließenden Lösung zugeführt werden, 

weil der Schwerpunkt der Fragestellung nicht im Bereich des Beschäftigtendatenschutzes 

liegt und die Frage, welche Arten von Unternehmenszusammenschlüssen 

hierbei gemeint sein können, weiterer vertiefter Untersuchung bedarf. 

Zudem erscheint eine solche Übermittlungserleichterung europarechtlich als 

problematisch. 

II. Gesetzgebungskompetenz 

Für Regelungen des Datenschutzes folgt die Gesetzgebungskompetenz des Bundes 

als Annex aus der Kompetenz für die geregelte Sachmaterie. Betroffene Sachmaterien 

sind vorwiegend das Arbeitsrecht (Artikel 74 Absatz 1 Nummer 12 Grundgesetz) 

und das Recht der Wirtschaft (Artikel 74 Absatz 1 Nummer 11 Grundgesetz). Die Berechtigung 

des Bundes zur Inanspruchnahme der konkurrierenden Gesetzgebungs-

- 2 - 

kompetenz für das Recht der Wirtschaft ergibt sich aus Artikel 72 Absatz 2 Grundgesetz. 

Eine bundesgesetzliche Regelung des Datenschutzes von Beschäftigten ist zur 

Wahrung der Rechtseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich. 

Unterschiedliche Regelungen des Schutzes der personenbezogenen Daten 

von Beschäftigten innerhalb des Bundesgebietes hätten insbesondere für in verschiedenen 

Ländern tätige Arbeitgeber erhebliche Unsicherheiten bei der rechtlichen 

Behandlung der bei ihnen bestehenden Beschäftigungsverhältnisse zur Folge. Dies 

beträfe sowohl die Datenerhebung und -verwendung vor als auch nach Begründung 

eines Beschäftigungsverhältnisses. Innerhalb des gleichen Unternehmens müssten 

unterschiedliche datenschutzrechtliche Maßstäbe angelegt werden. Dies hätte unzumutbare 

Behinderungen für den länderübergreifenden Rechtsverkehr zur Folge. 

Für die Änderungen des Bundesverfassungsschutzgesetzes, des MAD-Gesetzes, 

des BND-Gesetzes, des Bundesbeamtengesetzes sowie des Soldatengesetzes 

ergibt sich die Gesetzgebungskompetenz des Bundes aus Artikel 73 Absatz 1 Nummern 

1, 8, 10 Buchstabe b Grundgesetz. 

III. Vereinbarkeit mit dem Recht der Europäischen Union 

Der Gesetzentwurf ist mit dem Recht der Europäischen Union vereinbar. Er steht 

insbesondere im Einklang mit den Regelungen der Richtlinie 95/46/EG (EG- 

Datenschutzrichtlinie). 

IV. Finanzielle Auswirkungen auf die öffentlichen Haushalte 

Finanzielle Auswirkungen auf die öffentlichen Haushalte sind durch den Gesetzentwurf 

nicht zu erwarten. 

V. Kosten 

Zusätzliche Kosten für die Wirtschaft und die Verwaltung entstehen neben den angegebenen 

Bürokratiekosten nicht. Zusätzliche Kosten entstehen den Unternehmen 

auch nicht auf Grund der Vorschriften zur Datenlöschung (z.B. § 32g Absatz 3 und § 

32h Absatz 2), da diese Vorschriften lediglich bereits geltende Regelungen konkretisieren. 

Von den Regelungen sind alle Unternehmen betroffen. 

Zusätzliche Kosten für die Bürgerinnen und Bürger sind nicht zu erwarten. Auswirkungen 

auf Einzelpreise und das allgemeine Preisniveau, insbesondere auf das Verbraucherpreisniveau, 

sind ebenfalls nicht zu erwarten. 

99

100 

VI. Bürokratiekosten 

- 3 - 

1. Bürokratiebelastungen für die Wirtschaft und die Verwaltung 

Mit dem Gesetzentwurf werden 18 Informationspflichten für Arbeitgeber gegenüber 

ihren Beschäftigten eingeführt. Von diesen Informationspflichten sind die Wirtschaft 

als privater Arbeitgeber und die Verwaltung als öffentlicher Arbeitgeber gleichermaßen 

betroffen. 

Diese Informationspflichten sind im Einzelnen: 

Norm Informationspflicht Jährliche Fall- 

§ 32 Absatz 6 

Satz 3 

§ 32a Absatz 

1 Satz 3 

§ 32a Absatz 

2 Satz 4 

§ 32d Absatz 

3 Satz 3 

§ 32d Absatz 

3 Satz 4 

§ 32d Absatz 

4 Satz 2 

§ 32e Absatz 

5 Satz 2 

Der Beschäftigte ist auf sein 

Verlangen über den Inhalt einer 

bei einem Dritten über ihn 

eingeholten Auskunft zu unterrichten. 

Dem Beschäftigten ist das Ergebnis 

einer ärztlichen Untersuchung 

oder Prüfung mitzuteilen. 

Dem Beschäftigten ist das Ergebnis 

eines Eignungstests 

mitzuteilen. 

Dokumentationspflicht des 

Arbeitgebers bei einem automatisierten 

Datenabgleich 

Unterrichtungspflicht des Arbeitgebers 

bei einem automatisierten 

Datenabgleich 

Hinweispflicht des Arbeitgebers 

auf die Zweckbindung 

übermittelter Daten gegenüber 

dem Datenempfänger. 

Der Arbeitgeber hat die einen 

Verdacht begründenden Tatsachen 

zu dokumentieren. 

Belastung der Wirt- 

zahlschaft 

in Tsd. Euro 

367.500 809 

735.000 1.619 

735.000 1.619 

17.790 477 

17.790 40 

2.500.000 6.292 (einmalige 

Umstellungskosten) 

17.790 477

§ 32e Absatz 

5 Satz 3 

§ 32e Absatz 

5 Satz 5 

§ 32e Absatz 

6 Satz 2- 

§ 32f Absatz 

1 Satz 2 

§ 32f Absatz 

1 Satz 3 

§ 32g Absatz 

1 Satz 2 

§ 32g Absatz 

1 Satz 2 

§ 32i Absatz 

2 Satz 1 

- 4 - 

Der Arbeitgeber hat die näheren 

Umstände der Datenerhebung 

zu dokumentieren. 

Unterrichtungspflicht des Arbeitgebers 

über die Datenerhebung, 

-verarbeitung oder 

-nutzung. 

Der Grund der Speicherung 

und die Löschung sind zu dokumentieren. 

Der Arbeitgeber hat den Umstand 

einer Videobeobachtung 

durch geeignete Maßnahmen 

kenntlich zu machen. 

Benachrichtigungspflicht des 

Arbeitgebers bei einer offenen 

Videoüberwachung 

Der Arbeitgeber hat dem Beschäftigten 

den Einsatz eines 

Ortungssystems durch geeignete 

Maßnahmen erkennbar 

zu machen. 

Der Arbeitgeber hat den Beschäftigten 

beim Einsatz eines 

Ortungssystems über den Umfang 

der Aufzeichnungen und 

deren regelmäßige oder im 

Einzelfall vorgesehene Auswertung 

zu informieren. 

Der Arbeitgeber hat den Beschäftigten 

und seine Kommunikationspartner 

im konkreten 

Einzelfall vorher darüber zu 

informieren, ob er Inhalte einer 

ausschließlich zu beruflichen 

oder dienstlichen Zwecken 

erlaubten Nutzung von Telefondiensten 

erhebt, verarbeitet 

oder nutzt. 

17.790 477 

17.790 477 

17.790 477 

300.000 3.020 (einmalige 


6.000 12 

2.000.000 503 (einmalige 


2.000.000 503 (einmalige 


5.000.000 1.600 

101

102 

- 5 - 

§ 32i Absatz Der Arbeitgeber hat den Be- 

2 Satz 2 schäftigten und seine Kommunikationspartner 

über die Möglichkeit 

der Erhebung, Verarbeitung 

und Nutzung von Inhalten 

der Nutzung von Telefondiensten 

zu informieren. 

§ 32i Absatz Der Arbeitgeber hat den Be- 

2 Satz 3 schäftigten über die Erhebung, 

Verarbeitung und Nutzung von 

Inhaltsdaten nach Satz 2 zu 

unterrichten. 

§ 32k Satz 1 Der Arbeitgeber hat Dritten, an 

die er Beschäftigtendaten 

übermittelt hat, die Änderung, 

Löschung oder Sperrung dieser 

Daten unverzüglich mitzuteilen, 

es sei denn, dass die 

Mitteilung zur Wahrung 

schutzwürdiger Interessen der 

Beschäftigten nicht erforderlich 

ist. 

100.000 252 

100.000 252 

358.000 901 

Für die Bundesverwaltung als Dienstherr von Beamtinnen und Beamten werden besondere 

Informationspflichten nach den §§ 106 ff BBG durch einige dieser Vorschriften 

des Gesetzentwurfs ergänzt, soweit sie spezielle Sachverhalte betreffen, die im 

Bundesbeamtengesetz nicht geregelt sind. 

Mit den eine Einwilligung zulassenden Regelungen (§ 32 Absatz 6 Satz 4, § 32a Absatz 

1 Satz 2, Absatz 2 Satz 2, § 32b Absatz 3, § 32c Absatz 3, 32h Absatz 1 Satz 2, 

§ 32i Absatz 2 Satz 1, § 32i Absatz 2 Satz 2) werden gegenüber der geltenden 

Rechtslage (§§ 4 und 4a BDSG) keine neuen Informationspflichten begründet. 

Mit den neuen Regelungen zum Beschäftigtendatenschutz ist eine Gesamtbelastung 

für die Wirtschaftsunternehmen in Höhe von insgesamt 9,49 Mio. € jährlich verbunden. 

Zudem wird von einmaligen Umstellungskosten in Höhe von insgesamt 10,3 

Mio. € ausgegangen.

- 6 - 

2. Bürokratiebelastungen für die Bürgerinnen und Bürger 

Für die Bürgerinnen und Bürger wird die folgende Informationspflicht neu eingeführt. 

Norm Informationspflicht Jährliche 

§ 32 Absatz 6 

Satz 3 

Der Beschäftigte ist auf sein 

Verlangen über den Inhalt der 

Auskunft zu unterrichten 

Belastung der Bür- 

Fallzahl ger in Stunden 

367.500 30.625 

VII. Auswirkungen von gleichstellungspolitischer Bedeutung 

Auswirkungen von gleichstellungspolitischer Bedeutung sind nicht zu erwarten. 

VII. Nachhaltigkeit 

Das Vorhaben wird auch langfristig zu einer größeren Rechtssicherheit und einem 

besseren Schutz der personenbezogenen Daten von Beschäftigten im Beschäftigungsverhältnis 

führen. Die Regelungen sind technikneutral ausgestaltet und bieten 

so die Gewähr, zukünftige technische Entwicklungen mit zu umfassen. 

103

104 

B. Besonderer Teil 

Zu Artikel 1 

Zu Nummer 1 (Inhaltsübersicht) 

- 7 - 

Die Inhaltsübersicht ist an die nachfolgend begründeten Gesetzesänderungen anzupassen. 

Zu Nummer 2 (§ 3 Absätze 12 und 13) 

Mit den Absätzen 12 und 13 werden in § 3 neue Begriffsbestimmungen aufgenommen, 

die für dieses Änderungsgesetz von Bedeutung sind. 

Absatz 12 stellt klar, dass es sich bei Beschäftigtendaten um personenbezogene Daten 

von Beschäftigten handelt. 

Absatz 13 konkretisiert den Begriff des Arbeitgebers für den Bereich des Datenschutzrechts. 

Zu Nummer 3 (§ 4 Absatz 1 Satz 2) 

Mit dem neuen Satz 2 wird klargestellt, dass auch Betriebs- und Dienstvereinbarungen 

andere Rechtsvorschriften im Sinne des § 4 Absatz 1 Satz 1 sind. Damit wird die 

herrschende Rechtsauffassung in Rechtsprechung und Literatur ausdrücklich gesetzlich 

geregelt. Mit dieser Klarstellung erfolgt weder eine Einschränkung noch eine Erweiterung 

der Möglichkeiten und Grenzen, durch Betriebs- oder Dienstvereinbarungen 

abweichende Regelungen zu treffen, gegenüber der jetzigen, durch die Rechtsprechung 

geprägten Rechtslage. 

Zu Nummer 4 (§ 12 Absatz 4) 

Es handelt sich um redaktionelle Änderungen, die die bestehende Regelung an die 

mit diesem Gesetz geänderte Rechtslage anpassen. Spezialgesetzliche Regelungen 

der Datenerhebung, -verarbeitung und -nutzung in sonstigen Rechtsvorschriften, wie 

z.B. im Sicherheitsüberprüfungsgesetz, in § 9 Absatz 1 Nummer 2 BVerfSchG, § 2 

Absatz 1 Nummer 1 BNDG, § 5 Absatz 1 Nummer 2 MADG, bleiben unberührt.

Zu Nummer 5 (§ 27 Absatz 3) 

- 8 - 

Absatz 3 beschreibt den Anwendungsbereich der Regelungen des neuen zweiten 

Unterabschnitts des dritten Abschnitts. Die Vorschriften sind anwendbar auf Arbeitgeber 

im Sinne von § 3 Absatz 13 (neu). Die Vorschriften gelten nur für die Datenerhebung, 

-verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses. 

Sollen Beschäftigtendaten für andere Zwecke erhoben, verarbeitet oder genutzt werden, 

gelten nicht die Vorschriften der §§ 32 bis 32l, sondern die übrigen Bestimmungen 

des Bundesdatenschutzgesetzes. Für Dritte im Sinne von § 3 Absatz 8, die, ohne 

Auftragsdatenverarbeiter zu sein, für den Arbeitgeber tätig sind, bestimmt § 32l 

Absatz 2 die Anwendbarkeit des zweiten Unterabschnitts. 

Übermittlungen von Beschäftigtendaten für außerhalb des Beschäftigungsverhältnisses 

bestehende Zwecke sind daher u.a nach § 28 zu beurteilen. Spezialgesetzliche 

Regelungen der Datenerhebung, -verarbeitung und -nutzung in sonstigen Rechtsvorschriften, 

wie z.B. in § 9 Absatz 1 Nummer 2 BVerfSchG, § 2 Absatz 1 Nummer 1 

BNDG, § 5 Absatz 1 Nummer 2 MADG, bleiben unberührt. 

Der Anwendungsbereich ist zudem nicht auf automatisierte Daten beschränkt, sondern 

erfasst auch den Umgang mit z.B. papiergebundenen Beschäftigtendaten. 

Zu Nummer 6 

Es wird ein neuer zweiter Unterabschnitt des dritten Abschnitts eingefügt, in dem die 

Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses 

im Zusammenhang geregelt wird. 

Zu Nummer 7 (§§ 32 bis 32l) 

Die Regelungen des Unterabschnitts zum Beschäftigtendatenschutz gehen, soweit 

sie speziellere Regelungen treffen, den übrigen Bestimmungen des dritten Abschnitts 

vor. Insbesondere gehen die Regelungen dem § 28 Absatz 1 Nummer 1 vor. Gleichzeitig 

gelten insbesondere die allgemeinen und gemeinsamen Bestimmungen sowie 

die Vorschriften über die Rechte der Betroffenen grundsätzlich auch für den Beschäftigtendatenschutz. 

Hierzu zählt der Auskunftsanspruch des Betroffenen nach § 34, 

wonach dem Betroffenen auf Verlangen unter anderem Auskunft über die zu seiner 

Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 

zu erteilen ist. Damit wird die erforderliche Transparenz bei der Datenverar- 

105

106 

- 9 - 

beitung im Beschäftigungsverhältnis weiterhin sichergestellt. Von den allgemeinen 

und gemeinsamen Vorschriften abweichende und damit als speziellere Vorschrift 

vorgehende Regelung ist insbesondere § 32l Absatz 1 zur Einwilligung zu beachten. 

Ebenso wie für den bisherigen § 32 gilt, dass nach dem Grundsatz des § 1 Absatz 3 

die Vorschriften dieses Unterabschnittes keine Anwendung finden, soweit andere 

Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren 

Veröffentlichung anzuwenden sind. Dies gilt beispielsweise für spezielle Befugnisse, 

Daten zur Abwehr von Gefahren für die Informationstechnik und Datensicherheit zu 

erheben, zu verarbeiten und zu nutzen (§ 5 BSIG). Insbesondere trifft dies aber auf 

die §§ 106 bis 115 des Bundesbeamtengesetzes (BBG) oder § 29 des Soldatengesetzes 

(SG) zu, die eigene Regelungen für den Umgang mit personenbezogenen 

Daten für Zwecke des Beschäftigungsverhältnisses enthalten. Insoweit wird auf die 

Begründung zu Artikel 5 und Artikel 6 verwiesen. 

Zu § 32 (Datenerhebung vor Begründung eines Beschäftigungsverhältnisses) 

Die Vorschrift regelt die Datenerhebung in der Anbahnungsphase, insbesondere 

durch mündliche und schriftliche Befragung der Bewerber. 

Zu Absatz 1 

Nach Absatz 1 unterliegt die Erhebung des Namens und der Kontaktdaten des Bewerbers 

keinen besonderen Voraussetzungen, da ohne diese die Durchführung eines 

Bewerbungsverfahrens nicht möglich ist. Die Erhebung weiterer Daten ist dagegen 

nur zulässig, wenn und soweit deren Kenntnis für die Feststellung der fachlichen 

und persönlichen Eignung des Bewerbers für die vorgesehenen Tätigkeiten erforderlich 

ist. Welche Daten dieses im Einzelfall sein können, richtet sich nach objektiven 

beruflichen Kriterien und dem vom Arbeitgeber festgelegten Anforderungsprofil. Die 

Regelung entspricht der bisherigen Rechtsprechung des Bundesarbeitsgerichts, das 

ein Fragerecht des Arbeitgebers bei den Einstellungsverhandlungen nur insoweit anerkennt, 

als der Arbeitgeber ein berechtigtes, billigenswertes und schutzwürdiges 

Interesse an der Beantwortung seiner Frage im Hinblick auf das Arbeitsverhältnis 

hat. Vorgesehene Tätigkeiten im Sinne der Regelung liegen auch dann vor, wenn der 

Arbeitgeber verschiedene Stellen in einem Verfahren ausgeschrieben hat und im 

Bewerbungsverfahren entscheidet, welcher Bewerber auf welcher Stelle eingesetzt 

werden soll.

Zu Absatz 2 

- 10 - 

Absatz 2 stellt für besonders schutzwürdige Daten der Bewerber Sonderregelungen 

auf. 

Diese Daten darf der Arbeitgeber nur unter den strengen Voraussetzungen des § 8 

Absatz 1 des Allgemeinen Gleichbehandlungsgesetzes (AGG) erheben. Maßgebend 

für die Zulässigkeit der Erhebung sind daher die aus objektiver Sicht zu bestimmenden 

wesentlichen und entscheidenden beruflichen Anforderungen. Diese können 

sich auch aus einem unternehmerischen Konzept ergeben, wenn sie einen engen 

Tätigkeitsbezug aufweisen, der den Erfolg der Tätigkeit wesentlich bestimmt. Hinsichtlich 

der Frage nach Vorstrafen bleiben gemäß § 1 Absatz 3 Satz 1 die Vorschriften 

des Bundeszentralregistergesetzes (BZRG) unberührt. Das bedeutet insbesondere, 

dass der Bewerber sich gemäß § 53 Absatz 1 BZRG als unbestraft bezeichnen 

darf und den der Verurteilung zugrunde liegenden Sachverhalt nicht zu offenbaren 

braucht, wenn die dortigen Voraussetzungen vorliegen. Die Regelung entspricht der 

bisherigen Rechtsprechung des Bundesarbeitsgerichts, wonach der Arbeitgeber einen 

Bewerber nur nach Vorstrafen fragen darf, wenn und soweit die Art des zu besetzenden 

Arbeitsplatzes dies erfordert. 

Zu Absatz 3 

Da die Datenerhebung auf das erforderliche Maß zu beschränken ist, besteht nach 

dieser Regelung vor Begründung des Beschäftigungsverhältnisses kein Fragerecht 

nach der Schwerbehinderten- oder Gleichstellungseigenschaft. Die entgegenstehende 

Rechtsprechung des Bundesarbeitsgerichts aus der Zeit vor Inkrafttreten der 

Richtlinie 2000/78/EG sowie des Neunten Buches Sozialgesetzbuch (SGB IX) und 

des Allgemeinen Gleichbehandlungsgesetzes ist durch die dort aufgestellten Diskriminierungsverbote 

überholt. Die Einstellung eines Bewerbers darf aus Gründen der 

Gleichbehandlung nicht wegen der Schwerbehinderten- oder Gleichstellungseigenschaft 

verweigert werden, wenn die zu Grunde liegende Behinderung der Eignung 

nicht entgegensteht. Zur Erfüllung der sich aus dem Neunten Buch des Sozialgesetzbuches 

ergebenden Pflichten des Arbeitgebers und Rechte der schwerbehinderten 

und diesen gleichgestellten behinderten Menschen bedarf es des Fragerechts 

nach der Schwerbehinderten- oder Gleichstellungseigenschaft vor Begründung des 

Beschäftigungsverhältnisses nicht. Will der Arbeitgeber der Pflicht zur Beschäftigung 

schwerbehinderter oder gleichgestellter Menschen gemäß § 71 SGB IX nachkommen, 

kann er dieses Ziel z. B. durch einen entsprechenden Hinweis in der Stellenausschreibung 

erreichen. Das Gleiche gilt für den öffentlichen Arbeitgeber hinsicht- 

107

108 

- 11 - 

lich der Verpflichtung gemäß § 82 Satz 2 SBG IX, schwerbehinderte und gleichgestellte 

Bewerber zum Vorstellungsgespräch einzuladen. Damit bleibt es den Bewerbern 

überlassen, ob sie dieses Datum offenlegen. 

Zu Absatz 4 

Diese Regelung trägt dem Selbstverständnis und dem verfassungsrechtlich garantierten 

Selbstbestimmungsrecht der Religions- und Weltanschauungsgemeinschaften 

Rechnung. Als Konsequenz aus der Zulässigkeit der unterschiedlichen Behandlung 

wegen der Religion oder Weltanschauung nach § 9 Abs. 1 Allgemeines Gleichbehandlungsgesetz 

steht diesen Arbeitgebern ein Fragerecht unter denselben, gegenüber 

Absatz 2 Satz 1 erleichterten, Voraussetzungen zu. 

Zu Absatz 5 

Diese Ausnahmeregelung betrifft insbesondere Parteien (politisch), Gewerkschaften 

und Arbeitgeberverbände (koalitionspolitisch) sowie Pressebetriebe und Rundfunkund 

Fernsehanstalten (Berichterstattung oder Meinungsäußerung). Die durch die 

Artikel 5 Abs. 1, 9 Abs. 3 und 21 des Grundgesetzes geschützten Freiheiten gewährleisten 

ihnen das Recht, ihre geistig-ideelle Ausrichtung festzulegen. Um die Verwirklichung 

dieser Ausrichtung zu erreichen und zu erhalten, muss der Arbeitgeber die 

Möglichkeit haben, durch Befragung der Bewerber festzustellen, ob ihre persönliche 

Einstellung dieser Ausrichtung entspricht, wenn die Art der zukünftigen Tätigkeit diese 

Anforderung rechtfertigt. Dabei ist die Frage nach der Religion oder Weltanschauung 

nur unter den gleichen strengeren Voraussetzungen zulässig, unter denen eine 

unterschiedliche Behandlung nach § 8 Allgemeines Gleichbehandlungsgesetz (AGG) 

wegen der Religion oder Weltanschauung zulässig ist. Es handelt sich nämlich hier – 

anders als in Absatz 6 und § 9 AGG - nicht um eine Beschäftigung bei einer Religions- 

oder Weltanschauungsgemeinschaft, so dass die im Hinblick auf deren Selbstverständnis 

und verfassungsrechtlich garantierten Selbstbestimmungsrecht in Absatz 

6 und § 9 AGG aufgestellten erleichterten Voraussetzungen für ein Fragerecht hier 

nicht genügen. 

Durch das Abstellen auf die Art der Tätigkeit wird das Fragerecht des Arbeitgebers 

auf die Bewerber beschränkt, für deren zukünftige Tätigkeit die genannten Merkmale 

von Bedeutung sind, was z. B. bei einem Pförtner oder Hausmeister nicht der Fall ist. 

Zu Absatz 6 

Satz 1 enthält den Grundsatz der Direkterhebung. Satz 2 regelt eine Ausnahme hier-

- 12 - 

von hinsichtlich allgemein zugänglicher Daten des Bewerbers. Der Arbeitgeber hat 

den Beschäftigten auf die mögliche Erhebung von allgemein zugänglichen Daten 

über ihn hinzuweisen. Ein solcher Hinweis kann z. B. in der Stellenausschreibung 

erfolgen. Wenn der Arbeitgeber diese Daten elektronisch oder in Papierform speichert, 

muss er den Beschäftigten nach § 33 hierüber benachrichtigen. Allgemein zugänglich 

sind Daten z. B. dann, wenn sie der Presse oder dem Rundfunk zu entnehmen 

sind. Auch im Internet bei bestimmungsgemäßer Nutzung für jeden abrufbare 

Daten sind grundsätzlich allgemein zugänglich, insbesondere, wenn die Daten über 

eine allgemeine Suchmaschine auffindbar sind. Sind die eingestellten Daten dagegen 

nur einem beschränkten Personenkreis zugänglich, z. B. ausgewählten Freunden, 

liegt eine allgemeine Zugänglichkeit nicht vor. Die Erhebung allgemein zugänglicher 

Daten ist nicht zulässig, wenn das schutzwürdige Interesse des Beschäftigten 

an dem Ausschluss der Erhebung gegenüber dem berechtigten Interesse des Arbeitgebers 

überwiegt. Einen solchen Fall regelt ausdrücklich Satz 2 letzter Halbsatz 

im Hinblick auf soziale Netzwerke im Internet, die der elektronischen Kommunikation 

dienen. Die dort eingestellten Daten dürfen vom Arbeitgeber grundsätzlich nicht erhoben 

werden; eine Ausnahme hiervon gilt nur für soziale Netzwerke im Internet, die 

gerade zur eigenen Präsentation gegenüber potentiellen Arbeitgebern genutzt werden. 

Überwiegende schutzwürdige Interessen des Beschäftigten können sich im Übrigen 

daraus ergeben, wie alt die Veröffentlichung der Daten im Internet ist, in welchem 

Kontext sie erfolgt und ob der Beschäftigte nach den erkennbaren Umständen 

noch die Herrschaft über die Veröffentlichung hat. Bei der Abwägung ist auch zu berücksichtigen, 

ob der Arbeitgeber durch die Erhebung der Daten zu Zwecken des 

Beschäftigungsverhältnisses gegen allgemeine Geschäftsbedingungen desjenigen, 

der die Informationen bzw. die Plattform für diese zur Verfügung stellt, verstoßen 

würde. In diesem Fall ist die Erhebung der Daten ebenfalls in der Regel wegen eines 

überwiegenden Interesses des Arbeitnehmers unzulässig. Die Erhebung von Daten 

aus allgemein zugänglichen Quellen stellt in der Regel eine Datenerhebung bei einem 

Dritten dar. Satz 3 beschränkt vor diesem Hintergrund die Datenerhebung bei 

sonstigen Dritten (z. B. einem früheren Arbeitgeber) auf den Fall der Einwilligung des 

Beschäftigten. Dem Transparenzgebot folgend, gibt der 2. Halbsatz des Satzes 3 

dem Beschäftigten einen Anspruch auf Information über die bei dem sonstigen Dritten, 

der keine allgemein zugängliche Quelle darstellt, erhobenen Daten. Satz 4 stellt 

klar, dass Absatz 6 nur festlegt, aus welchen Quellen Beschäftigtendaten erhoben 

werden dürfen, dass er jedoch nicht Inhalt und Umfang der Datenerhebung erfasst. 

Diese richten sich in jedem Fall nach den Absätzen 1 bis 5 und § 32a. Die dort gesetzten 

Grenzen werden durch Absatz 6 nicht erweitert. Auch durch die Einwilligung 

werden diese Grenzen nicht verändert. Sie legitimiert lediglich die Datenerhebung bei 

dem sonstigen Dritten, nicht aber ein über die Absätze 1 bis 5 und § 32a hinaus ge- 

109

110 

- 13 - 

hendes Fragerecht des Arbeitgebers, auch nicht etwa in Form einer Aufforderung zur 

Vorlage einer unbeschränkten Selbstauskunft nach den §§ 19, 34. 

Absatz 6 stellt keine den § 4 ausschließende, sondern eine diesen ergänzende Regelung 

dar. 

Zu Absatz 7 

Absatz 7 weist auf den Grundsatz der Verhältnismäßigkeit hin, der Art und Ausmaß 

jeder Datenerhebung im Hinblick auf den Zweck begrenzt. Die Erhebung muss daher 

zur Erfüllung des festgelegten Zwecks geeignet und erforderlich sein und in einem 

angemessenen Verhältnis zu den betroffenen Rechten des Bewerbers stehen. 

Zu § 32a (Ärztliche Untersuchungen und Eignungstests vor Begründung eines 

Beschäftigungsverhältnisses) 

Zu Absatz 1 

Absatz 1 regelt die Voraussetzungen für eine ärztliche Untersuchung zur Feststellung 

der Eignung des Bewerbers für die vorgesehenen Tätigkeiten sowie den Umgang mit 

dem dabei ermittelten Ergebnis. Der Gesundheitszustand muss zum Zeitpunkt der 

Arbeitsaufnahme eine wesentliche und entscheidende berufliche Anforderung darstellen. 

Das bedeutet, dass die Untersuchung sich auch auf zukünftige Tätigkeiten 

beziehen kann, wenn sie zu diesem Zeitpunkt bereits vorgesehen sind. So kann z. B. 

die Tropentauglichkeit des Bewerbers geprüft werden, wenn ein späterer Einsatz in 

den Tropen zu den vorgesehenen Tätigkeiten gehört. Für gendiagnostische Untersuchungen 

gelten die spezielleren Vorschriften des Gendiagnostikgesetzes. 

Zu Absatz 2 

Neben der ärztlichen Untersuchung nach Absatz 1 kommen auch sonstige Untersuchungen 

oder Prüfungen (Eignungstests) in Betracht. Die Voraussetzung der Erforderlichkeit 

für die Eignungsfeststellung schließt die Erhebung von Daten, die für die 

vorgesehene Tätigkeit ohne Bedeutung sind, aus. Art und Umfang der Untersuchung 

oder Prüfung hängen daher entscheidend von der zukünftigen Tätigkeit ab. So sind 

z. B. Belastungs- oder Reaktionstests nur zulässig, wenn und soweit diesbezüglich 

besondere berufliche Anforderungen bestehen. Der Eignungstest muss nach wissenschaftlich 

anerkannten Methoden durchgeführt werden, wenn solche bestehen. 

Wenn Untersuchungen oder Prüfungen von Personen, die einer beruflichen Verschwiegenheitspflicht 

unterliegen (z.B. Berufspsychologen), durchgeführt werden,

- 14 - 

darf dem Arbeitgeber, anders als dem Bewerber selbst, nicht das konkrete Ergebnis 

der Untersuchung oder Prüfung, sondern nur die Eignung oder fehlende Eignung für 

die angestrebte Tätigkeit mitgeteilt werden. 

Zu § 32b (Datenverarbeitung und -nutzung vor Begründung eines Beschäfti- 

gungsverhältnisses) 

Zu Absatz 1 

Absatz 1 knüpft die Zulässigkeit der Verarbeitung und Nutzung von Beschäftigtendaten 

durch den Arbeitgeber an die Datenerhebung nach den §§ 32 oder 32a und die 

Erforderlichkeit der Daten für die Feststellung der Eignung des Beschäftigten sowie 

für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses. 

Zu Absatz 2 

Absatz 2 bestimmt, dass der Arbeitgeber auch solche Beschäftigtendaten, die er 

nicht erhoben, d. h. nicht zielgerichtet beschafft hat, sondern, die ihm auf andere 

Weise zugetragen worden oder zur Kenntnis gelangt sind, nicht uneingeschränkt 

verarbeiten und nutzen darf. Vielmehr muss dies für die Feststellung der Eignung des 

Beschäftigten für die vorgesehenen Tätigkeiten oder für die Entscheidung über die 

Begründung des Beschäftigungsverhältnisses erforderlich sein Darüber hinaus setzt 

die Verarbeitung und Nutzung voraus, dass der Arbeitgeber die Daten nach den §§ 

32 oder 32a hätte erheben dürfen; eine Ausnahme hiervon gilt nur, wenn er sie von 

dem Beschäftigten selbst erhalten hat, ohne dass er hierzu Veranlassung gegeben 

hat. 

Sobald eine Speicherung dieser Daten erfolgt ist, ist der Beschäftigte nach § 33 zu 

benachrichtigen. 

Zu Absatz 3 

Die Vorschrift verweist im ersten Halbsatz deklaratorisch auf die Löschungspflicht 

nach § 35 Absatz 2 Satz 2 für den Fall, dass das Beschäftigungsverhältnis nicht begründet 

wird. Der zweite Halbsatz enthält eine Ausnahme von der Löschungspflicht 

bei Einwilligung des Bewerbers in die weitere Speicherung, z. B. im Hinblick auf eine 

mögliche spätere Einstellung. Die Vorschrift bezieht sich sowohl auf vom Bewerber 

eingereichte Daten, als auch auf eigene Aufzeichnungen des Arbeitgebers über den 

Bewerber, die er etwa während des Bewerbungsverfahrens angelegt hat. 

111

112 

- 15 - 

Zu § 32 c (Datenerhebung im Beschäftigungsverhältnis) 

Zu Absatz 1 

Absatz 1 ist die Grundnorm für die Erhebung von Beschäftigtendaten im Beschäftigungsverhältnis 

für seine Zwecke. Die Datenerhebung ist zulässig, soweit sie für die 

Durchführung, Beendigung, Abwicklung und die Folgen des Beschäftigungsverhältnisses 

erforderlich ist. Die spezielleren Regelungen in den §§ 32e bis 32i gehen vor. 

Bei den in den Nummern 1 bis 3 genannten Regelbeispielen ist vom Vorliegen der 

Voraussetzungen des Satzes 1 auszugehen. 

Gesetzliche (Nummer 1) oder gegenüber dem Beschäftigten bestehende vertragliche 

und gesetzliche (Nummer 2) Pflichten können beispielsweise im Rahmen der Personalverwaltung 

oder der Lohn- und Gehaltsabrechnung bestehen. Nummer 3 knüpft 

eine zulässige Erhebung von Beschäftigtendaten an die im Beschäftigungsverhältnis 

bestehenden Arbeitgeberrechte. Dabei kann es sich um die Ausübung des Weisungsrechts 

oder die Leistungs- oder Verhaltenskontrolle des Beschäftigten sowie 

um die Personal- oder Organisationsplanung handeln. 

Die entsprechende Geltung des § 32 Absatz 6 betont die Grundsätze der Direkterhebung 

und der Transparenz auch für das bestehende Beschäftigungsverhältnis. Der 

Verweis auf § 32 Absatz 2 Satz 2 stellt klar, dass auch im bestehenden Beschäftigungsverhältnis 

die Vorschriften des BZRG unberührt bleiben. 

Neben den in Absatz 1 genannten sind die Voraussetzungen des Absatzes 4 zu berücksichtigen. 

Zu Absatz 2 

Absatz 2 stellt klar, dass die Voraussetzungen des § 32 Absatz 2bis 5 auch bei der 

Feststellung der fachlichen Eignung für eine Veränderung der zu leistenden Tätigkeit 

oder des Arbeitsplatzes hinsichtlich der hierfür erstmals zu erhebenden Daten entsprechend 

anzuwenden ist. 

Zu Absatz 3 

Absatz 3 begrenzt die Zulässigkeit von ärztlichen Untersuchungen und Eignungstests 

eines Beschäftigten auf Verlangen des Arbeitgebers. Sie sind nach Maßgabe 

des § 32a zulässig, soweit sie zur Eignungsprüfung des Beschäftigten erforderlich 

sind, d. h. die Eignung nicht auf andere, weniger belastende Weise festgestellt werden 

kann. Die Eignungsüberprüfung darf nur bei Zweifeln an der fortdauernden Eignung 

oder anlässlich eines beabsichtigten Wechsels der Tätigkeit des Beschäftigten

- 16 - 

oder seines Arbeitsplatzes erfolgen., Arbeitsmedizinische Vorsorgeuntersuchungen 

bleiben von Absatz 3 unberührt und richten sich nach der Verordnung zur arbeitsmedizinischen 

Vorsorge. 

Zu Absatz 4 

Absatz 4 ist identisch mit § 32 Absatz 7. 

Zu § 32d (Datenverarbeitung und -nutzung im Beschäftigungsverhältnis) 

Zu Absatz 1 

Absatz 1 bestimmt unter welchen Voraussetzungen der Arbeitgeber Beschäftigtendaten 

im Beschäftigungsverhältnis verarbeiten und nutzen darf. Die Daten müssen 

nach § 32, § 32a oder § 32c erhoben worden und weiterhin für die Erfüllung des konkreten 

Erhebungszwecks oder eines anderen nach diesem Unterabschnitt zulässigen 

Zwecks im Rahmen des Beschäftigungsverhältnisses erforderlich sein. Die Verarbeitung 

und Nutzung der Beschäftigtendaten muss darüber hinaus verhältnismäßig 

sein. Die Vorschrift erspart es dem Arbeitgeber, die gleichen Beschäftigtendaten 

mehrfach für unterschiedliche Zwecke des Beschäftigungsverhältnisses zu erheben. 

Zu Absatz 2 

Absatz 2 stellt – wie auch § 32b Absatz 1 Nummer 2, 2. Alternative - klar, dass der 

Arbeitgeber auch solche Beschäftigtendaten, die er, ohne danach zu fragen, von 

dem Beschäftigten selbst erhält oder die ihm auf andere Weise zugetragen werden 

oder zur Kenntnis gelangen, ohne dass er sie beschafft hat, im Beschäftigungsverhältnis 

nicht uneingeschränkt verarbeiten und nutzen darf. Vielmehr ist das Verarbeiten 

und Nutzen nur zulässig, soweit der Arbeitgeber die Daten nach den §§ 32, 32a 

oder 32c hätte erheben dürfen, und die Verarbeitung oder Nutzung für die Durchführung, 

Beendigung oder Abwicklung des Beschäftigungsverhältnisses erforderlich sowie 

nach Art und Ausmaß im Hinblick auf den Zweck verhältnismäßig ist. Sobald eine 

Speicherung dieser Daten erfolgt ist, ist der Beschäftigte nach § 33 zu benachrichtigen. 

Zu Absatz 3 

Absatz 3 regelt, für welche Zwecke und in welcher Form der Arbeitgeber einen automatisierten 

Abgleich von für andere Zwecke des Beschäftigungsverhältnisses erho- 

113

114 

- 17 - 

benen, mithin bei ihm vorhandenen Beschäftigtendaten, mit von ihm geführten Dateien 

durchführen darf. Der Abgleich ist nur zulässig zur Aufdeckung von Straftaten 

oder anderen schwerwiegenden Pflichtverletzungen durch den Beschäftigten im Beschäftigungsverhältnis. 

Eine schwerwiegende Pflichtverletzung kann auch z. B. die 

Begehung einer Ordnungswidrigkeit im Beschäftigungsverhältnis sein, wenn diese 

von entsprechender Erheblichkeit ist. Die Regelbeispiele machen deutlich, dass Absatz 

3 eine Grundlage für die Korruptionsbekämpfung und die Durchsetzung von 

Compliance-Anforderungen darstellt. Compliance bedeutet in diesem Zusammenhang 

die Einhaltung aller relevanten Gesetze, Verordnungen, Richtlinien und Selbstverpflichtungen 

durch ein Unternehmen als Ganzes. Entsprechende Anforderungen 

ergeben sich z.B. für die Kreditwirtschaft unter anderem aus dem Kreditwesengesetz 

und dem Geldwäschegesetz. Der Datenabgleich ist nicht zur Aufdeckung jeder, sondern 

nur einer schwerwiegenden Pflichtverletzung, die in ihrer Gewichtigkeit den Regelbeispielen 

nahe kommt, gerechtfertigt. Dieser Maßstab gilt auch für die Straftaten. 

Diese müssen zudem, wie die Pflichtverletzung, im Zusammenhang mit dem Beschäftigungsverhältnis 

begangen worden sein. Im Sinne des in § 3a normierten 

Grundsatzes der Datenvermeidung und Datensparsamkeit dürfen die Beschäftigtendaten 

zunächst nur in anonymisierter oder pseudonymisierter Form für den Abgleich 

genutzt werden. Erst wenn sich aus dem Abgleich ein Verdacht ergibt, dürfen die 

hiervon betroffenen Daten personalisiert werden. Dem Transparenzgebot wird durch 

die Dokumentations- und Unterrichtungspflicht des Arbeitgebers Rechnung getragen. 

Zu Absatz 4 

Das Übermitteln von Beschäftigtendaten an Dritte unterliegt nach Absatz 4 einer auf 

das Beschäftigungsverhältnis beschränkten Zweckbindung. 

Das Verarbeiten oder Nutzen von Beschäftigtendaten für Zwecke, die außerhalb des 

Beschäftigungsverhältnisses liegen, richtet sich nach den Vorschriften außerhalb des 

zweiten Unterabschnittes des dritten Abschnitts. Hierzu zählen insbesondere zweckändernde 

Übermittlungen. 

Zu Absatz 5 

Absatz 5 stellt eine zum Schutz des Rechts auf informationelle Selbstbestimmung 

der Beschäftigten erforderliche Flankierung der Regelungen über die Erhebung und 

Verwendung von Beschäftigtendaten dar.

- 18 - 

Zu § 32e (Datenerhebung ohne Kenntnis des Beschäftigten zur Aufdeckung 

und Verhinderung von Straftaten und anderen schwerwiegenden Pflichtverletzungen 

im Beschäftigungsverhältnis) 

Zu Absatz 1 

Absatz 1 regelt den Grundsatz, dass der Arbeitgeber Beschäftigtendaten nur mit 

Kenntnis des Beschäftigten erheben darf. Dieser Grundsatz ergänzt für den Beschäftigtendatenschutz 

die in § 4 getroffenen allgemeinen Regelungen zur Zulässigkeit 

der Datenerhebung, -verarbeitung und -nutzung. Ohne Kenntnis des Beschäftigten 

darf der Arbeitgeber somit nur in den besonders geregelten Fällen personenbezogene 

Daten des Beschäftigten erheben. 

Zu Absatz 2 

Zur Aufdeckung von Straftaten und anderen schwerwiegenden Pflichtverletzungen 

im Beschäftigungsverhältnis darf der Arbeitgeber ohne Kenntnis des Beschäftigten 

personenbezogene Daten nur nach dieser Vorschrift erheben, sofern keine spezielleren 

Regelungen bestehen (z.B. zur Videoüberwachung). Unter schwerwiegenden 

Pflichtverletzungen sind solche zu verstehen, die den Arbeitgeber bei einem Arbeitnehmer 

zu einer Kündigung aus wichtigem Grund nach § 626 BGB berechtigen würden. 

Darunter kann auch z. B. die Begehung einer Ordnungswidrigkeit im Beschäftigungsverhältnis 

fallen, wenn sie von entsprechender Erheblichkeit ist. Voraussetzung 

für eine Datenerhebung ohne Kenntnis des Beschäftigten ist zudem, dass Tatsachen 

vorliegen, die einen Verdacht gegen einen oder mehrere Beschäftigte begründen. 

Der Verdacht muss sich nicht auf einen bestimmten Beschäftigten beziehen, sondern 

kann sich auch gegen eine Gruppe von Beschäftigten richten. In diesem Fall ist jeder, 

der zu der Gruppe gehört, betroffen. Die Erhebung muss zur Aufdeckung der 

Straftaten oder anderen schwerwiegenden Pflichtverletzungen, auf die sich der Verdacht 

bezieht oder zur Verhinderung weiterer damit im Zusammenhang stehender 

Straftaten oder schwerwiegender Pflichtverletzungen des Beschäftigten erforderlich 

sein. Zur Verhinderung kann die Datenerhebung z. B. erforderlich sein, um systematische 

Strukturen, auf deren Grundlage breit angelegte Korruption betrieben bzw. 

abgewickelt wird (etwa ein Geflecht von Gesellschaften, über die versteckte Zahlungen 

erfolgen), aufzubrechen und damit diesen Weg für weitere Taten zu versperren. 

115

116 

Zu Absatz 3 

- 19 - 

Absatz 3 differenziert für den Fall der Datenerhebung ohne Kenntnis des Beschäftigten 

den Grundsatz der Verhältnismäßigkeit näher aus. Nach der Subsidiaritätsklausel 

des Satzes 2 ist die Erhebung nach Absatz 2 nur zulässig, wenn die Erforschung des 

Sachverhalts auf andere Weise weniger erfolgversprechend oder erschwert wäre. Ist 

erkennbar, dass der verfolgte Zweck nicht erreicht werden kann, ist die Datenerhebung 

zu beenden; kann der Zweck vorübergehend nicht erreicht werden, muss die 

Datenerhebung unterbrochen werden. Auch in zeitlicher Hinsicht darf die Datenerhebung 

nach Absatz 2 das unbedingt nötige Maß nicht überschreiten. Die Vorschrift 

betrifft auch Datenerhebungen, für die sich der Arbeitgeber Dritter bedient (z.B. Privatdetektiv). 

Zu Absatz 4 

Absatz 4 schränkt das zeitliche Ausmaß sowie die Mittel der Datenerhebung nach 

Absatz 2 ein. Eine planmäßig angelegte Beobachtung darf, unabhängig von den eingesetzten 

Mitteln, nicht länger als 24 Stunden ohne Unterbrechung oder an mehr als 

4 Tagen, bezogen auf die konkrete Maßnahme, stattfinden. Unabhängig von dem 

zeitlichen Ausmaß dürfen technische Mittel zum Abhören oder Aufzeichnen des nicht 

öffentlich gesprochenen Wortes oder sonstige besondere, zur Beobachtung bestimmte 

technische Mittel nicht eingesetzt werden. Hiervon ausgenommen sind 

Ferngläser und Fotoapparate; das bedeutet, dass z.B. Videokameras nicht eingesetzt 

werden dürfen. Eine heimliche Videoüberwachung ist daher unzulässig. 

Zu Absatz 5 

Satz 1 regelt die Zweckbindung der nach Absatz 2 erhobenen Daten. Darüber hinaus 

sind die den Verdacht begründenden Tatsachen vor Beginn der Datenerhebung und 

die näheren Umstände der Datenerhebung unverzüglich danach schriftlich festzuhalten. 

Wenn eine automatisierte Verarbeitung der Daten erfolgen soll, unterliegt diese 

der vorherigen Kontrolle des betrieblichen Datenschutzbeauftragten nach § 4d Absatz 

5. Satz 4 stellt eine deklaratorische Rechtsgrundverweisung dar. Der Arbeitgeber 

hat den Beschäftigten über eine ohne dessen Kenntnis erfolgte Datenerhebung 

nach Absatz 2 sowie über eine Verarbeitung und Nutzung dieser Daten zu unterrichten, 

sobald die Unterrichtung den Zweck (z.B. Aufdeckung einer Straftat) nicht mehr 

gefährdet.

Zu Absatz 6 

- 20 - 

Die in Absatz 6 geregelte Löschung der durch ohne Kenntnis des Beschäftigten erhobenen 

Daten ist davon abhängig, ob sie zur Erreichung des Zwecks noch erforderlich 

ist und ob schutzwürdige Interessen der Beschäftigten einer weiteren Speicherung 

entgegenstehen. Zum Zweck der Speicherung kann im Einzelfall auch eine spätere 

arbeitsgerichtliche Auseinandersetzung zählen. Darüber hinaus begründen die 

Sätze 2 bis 4 eine Dokumentationspflicht hinsichtlich des Grundes der Speicherung 

und der Löschung, eine Zweckbindung der Verwendung der Dokumentation sowie 

eine Löschungspflicht. 

Zu Absatz 7 

Absatz 7 enthält eine Schutzvorschrift für den Kernbereich der privaten Lebensgestaltung 

der Beschäftigten. Die diesen Kernbereich betreffenden Daten dürfen nicht 

erhoben, verarbeitet oder genutzt werden. Für den Fall, dass dies dennoch erfolgt, 

sind sie unverzüglich zu löschen. 

Zu § 32f (Beobachtung nicht öffentlich zugänglicher Betriebsstätten mit optisch-elektronischen 

Einrichtungen) 

Die Beobachtung mit optisch-elektronischen Einrichtungen in nicht öffentlich zugänglichen 

Bereichen des Betriebs erhält eine eigenständige gesetzliche Grundlage, die 

der Wahrung des allgemeinen Persönlichkeitsrechts des Beschäftigten und dem 

Recht am eigenen Bild im Verhältnis zum Arbeitgeberinteresse Rechnung trägt. Nicht 

öffentlich zugängliche Betriebsstätten sind solche, die nach dem erkennbaren Willen 

des Berechtigten nicht von jedermann betreten oder genutzt werden können. Nach 

dem Grundsatz des § 1 Absatz 3 gehen andere bereichsspezifische Regelungen zu 

Videoüberwachungen den hier getroffenen Regelungen vor, auch wenn Beschäftigtendaten 

betroffen werden. 

Zu Absatz 1 

Absatz 1 Satz 1 normiert in Abgrenzung zu § 6b, der die Videoüberwachung in öffentlich 

zugänglichen Räumen regelt, ausschließlich die Beobachtung in nicht öffentlich 

zugänglichen Betriebsgeländen, Betriebsgebäuden oder Betriebsräumen, wobei 

in diesem Zusammenhang Beschäftigtendaten gezielt oder zufällig mit erfasst werden 

können. Zum Schutz der Beschäftigten ist die Videobeobachtung jedoch nur im 

Zusammenhang mit dem Vorliegen von wichtigen betrieblichen Interessen und einer 

117

118 

- 21 - 

darüber hinaus gehenden Interessenabwägung zulässig. Schutzwürdige Interessen 

der Betroffenen stehen einer Videoüberwachung in Betriebsräumen der Interessenvertretungen 

regelmäßig entgegen. Wichtige betriebliche Interessen sind nur in den 

genannten Fällen anzunehmen. Nummer 3 bezieht sich auf das Eigentum sowohl 

des Arbeitgebers, von Beschäftigten als auch Dritter, z. B. Kunden oder Vertragspartner 

des Arbeitgebers. 

Hinsichtlich der Verarbeitung und Nutzung der erhobenen Daten sowie der Benachrichtigung 

von Betroffenen gelten die Regelungen des § 6b Absätze 3 und 4 entsprechend. 

Der Arbeitgeber hat aus Gründen der Transparenz für die Beschäftigten die Beobachtung 

durch geeignete Maßnahmen wie beispielsweise deutlich sichtbare Hinweisschilder 

erkennbar zu machen. 

Da bereits eine nicht funktionsfähige oder ausgeschaltete Kamera sowie eine Einrichtung, 

die nur wie eine Kamera aussieht, zu Verhaltensänderungen der Beschäftigten 

führen können, gelten die oben genannten Voraussetzungen auch für Einrichtungen, 

die für die Videoüberwachung geeignet erscheinen. 

Zu Absatz 2 

Absatz 2 stellt klar, dass Betriebsräume, die einem Beschäftigten als privater Rückzugsraum 

zur Verfügung gestellt werden, nicht überwacht werden dürfen. Dies gilt 

insbesondere für Sanitär-, Umkleide- und Schlafräume. Ein Raucherzimmer, das von 

einer Vielzahl von Beschäftigten genutzt werden kann, wird von der Vorschrift nicht 

erfasst, da es insofern an der Vergleichbarkeit mit einem individuellen Rückzugsraum 

eines Beschäftigten mangelt. 

Zu Absatz 3 

Die Speicherung bzw. das Löschen der durch die Videoüberwachung erhobenen Daten 

regelt Absatz 3 und ist davon abhängig, ob die Speicherung zur Erreichung des 

Zwecks noch erforderlich ist und ob schutzwürdige Interessen des Beschäftigten einer 

weiteren Speicherung entgegenstehen. Zum Zweck der Speicherung kann im 

Einzelfall auch eine spätere arbeitsgerichtliche Auseinandersetzung zählen.

Zu § 32g (Ortungssysteme) 

Zu Absatz 1 

- 22 - 

Absatz 1 regelt die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten 

durch Ortungssysteme, mit deren Hilfe der geographische Standort eines Beschäftigten 

bestimmt werden kann, zum Beispiel über das Global Positioning System (GPS). 

Ortungen sind technisch über Handys und in Fahrzeuge eingebaute Sender möglich. 

Die Ortung ist nur zulässig, wenn sie aus betrieblichen Gründen zur Sicherheit des 

Beschäftigten oder zur Koordinierung seines Einsatzes erforderlich ist und schutzwürdige 

Interessen des Beschäftigten am Ausschluss der Datenerhebung, - 

verarbeitung oder -nutzung nicht überwiegen. Arbeitgebern ist die Ortung von Beschäftigten 

nach der Vorschrift nur während der Arbeits- oder Bereitschaftszeiten, 

d.h. nicht während der Freizeit oder im Urlaub erlaubt. Ist dem Beschäftigten etwa die 

private Nutzung seines Dienstwagens gestattet, darf eine Ortung über ein im Fahrzeug 

eingebautes Ortungssystem während der privaten Nutzung nicht erfolgen. 

Eine heimliche Ortung von Beschäftigten ist nicht zulässig. Um die erforderliche 

Transparenz für die Beschäftigten herzustellen, hat der Arbeitgeber den Einsatz eines 

Ortungssystems durch geeignete Maßnahmen erkennbar zu machen und die 

Beschäftigten darüber zu informieren, wie er die Ortungsdaten nutzt. Die erhobenen 

Beschäftigtendaten unterliegen einer strengen Zweckbindung. 

Nach dem Grundsatz des § 1 Absatz 3 gehen andere bereichsspezifische Regelungen 

zum Einsatz von Ortungssystemen, wie etwa solche, die der Navigation und Kollisionsvermeidung 

oder der Mauterhebung dienen, den hier getroffenen Regelungen 

vor, auch wenn sie zugleich Beschäftigtendaten betreffen. 

Zu Absatz 2 

Nach Absatz 2 darf der Arbeitgeber Ortungssysteme auch zum Schutz der Arbeitsmittel 

und der sonstigen beweglichen Sachen, die sich in der Obhut des Beschäftigten 

befinden, z. B. der Fracht, einsetzen. In diesem Fall sind nicht die Voraussetzungen 

des Absatzes 1 zu erfüllen, da vorrangig Sachwerte geschützt werden sollen. 

Allerdings darf keine personenbezogene Ortung erfolgen, während der Beschäftigte 

die Sache ordnungsgemäß nutzt oder sie sich in seiner Obhut befindet. Ein typischer 

Anwendungsfall könnte der Diebstahlsschutz von Baumaschinen oder Lastkraftwagen 

sein. 

119

120 

Zu Absatz 3 

- 23 - 

Absatz 3 regelt die Löschung der nach den Absätzen 1 und 2 erhobenen Beschäftigtendaten. 

Zu § 32h (Biometrische Verfahren) 

Zu Absatz 1 

Die Vorschrift regelt, dass die elektronische Erhebung, Verarbeitung und Nutzung 

biometrischer Merkmale eines Beschäftigten nur aus betrieblichen Gründen zu Autorisierungs- 

und Authentifikationszwecken zulässig ist. 

Biometrische Merkmale im Sinne der Vorschrift sind u.a. Fingerabdruck (Fingerlinienbild), 

Handgeometrie, Iris (Regenbogenhaut des Auges), Retina (Netzhaut), Gesichtsgeometrie, 

Stimmmerkmale. 

Autorisierung bedeutet zum Beispiel in der Informationstechnologie die Zuweisung 

und Überprüfung von Zugriffsrechten auf Daten und Dienste an den Nutzer des Systems. 

Häufig erfolgt eine Autorisierung nach einer erfolgreichen Authentifizierung. 

Die Authentifizierung ist der Nachweis einer bestimmten Eigenschaft, etwa ein bestimmter 

Beschäftigter zu sein. Durch die Authentifizierung wird die Identität einer 

Person festgestellt. 

Eine Zweckänderung erhobener biometrischer Daten ist nur im Hinblick auf Lichtbilder 

und auch dann nur mit Einwilligung des Beschäftigten zulässig. 

Zu Absatz 2 

Absatz 2 regelt die Löschung der nach Absatz 1 erhobenen Beschäftigtendaten. 

Zu § 32i (Nutzung von Telekommunikationsdiensten) 

Zu Absatz 1 

Absatz 1 regelt den Umgang mit den Daten der Nutzung von Telekommunikationsdiensten 

durch den Beschäftigten wenn diese Nutzung nur zu beruflichen oder 

dienstlichen Zwecken erlaubt ist. Es handelt sich um Daten, die bei der Erbringung 

eines Telekommunikationsdienstes im Sinne des § 3 Nummer 30 Telekommunikationsgesetz 

erhoben, verarbeitet oder genutzt werden. Hierzu zählen zum Beispiel die 

Nummer oder Kennung der beteiligten Anschlüsse, der Beginn und das Ende der

- 24 - 

jeweiligen Verbindung nach Datum und Uhrzeit, sowie die übermittelten Datenmengen. 

Der Arbeitgeber darf diese Daten nur erheben, verarbeiten und nutzen, soweit 

keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen des Beschäftigten 

am Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegen. Solche 

schutzwürdigen Interessen können etwa dann vorliegen, wenn der Arbeitgeber bereits 

anhand der Daten Sachverhalte erkennen kann, die einer berufsbezogenen 

oder sonstigen gesetzlichen Schweigepflicht unterfallen. Dies kann zum Beispiel der 

Fall sein, wenn bestimmte Anschlüsse für eine unternehmensinterne psychologische 

Beratungen genutzt werden und anhand der erhobenen Daten dieses Anschlusses 

erkennbar wird, welche Beschäftigten psychologische Hilfe in Anspruch nehmen. 

Schutzwürdige Belange des Beschäftigten am Ausschluss der Kenntnisnahme des 

Inhalts seiner Kommunikationsnutzung durch den Arbeitgeber können auch dann 

bestehen, wenn es sich erkennbar um private Inhalte handelt. Schutzwürdige Interessen 

des Beschäftigten überwiegen regelmäßig bei der Kommunikation der Beschäftigten 

mit ihren Interessenvertretungen wie z.B. dem Betriebsrat, dem Personalrat, 

der Jugend- und Auszubildenenvertretung, der Schwerbehindertenvertretung 

oder Gleichstellungsbeauftragten. 

Die Erhebung, Verarbeitung und Nutzung der Daten, muss darüber hinaus erforderlich 

sein, um einem der unter den Nummern 1 bis 3 genannten Zwecke zu dienen. 

Nummer 1 betrifft die Sicherstellung des ordnungsgemäßen technischen Betriebs 

von Telekommunikationsnetzen oder Telekommunikationsdiensten, einschließlich 

der Datensicherheit. Die Kenntnis der Daten kann den Arbeitgeber in die Lage versetzen, 

Schäden von seinen Anlagen abzuhalten und die Sicherheit der darin verarbeiteten 

Daten zu gewährleisten. 

Nummer 2 betrifft insbesondere den Fall, dass die Daten erforderlich sind, um angefallene 

Entgelte bestimmten Anschlüssen oder Beschäftigten zuordnen zu können. 

Nummer 3 stellt klar, dass der Arbeitgeber die Daten auch auswerten darf, um zum 

Beispiel feststellen zu können, ob Telefonate tatsächlich nur zu beruflichen oder 

dienstlichen Zwecken erfolgt sind. Die Überprüfung der Daten kann auch ein taugliches 

Mittel für den Arbeitgeber sein, um Vertragsverletzungen zu seinen Lasten, 

Ordnungswidrigkeiten oder Straftaten zu verhindern oder aufzuklären. 

Sofern Daten zu einer stichprobenartigen oder anlassbezogenen Leistungs- oder 

Verhaltenskontrolle (Nummer 3) erhoben und einem bestimmten Beschäftigten zugeordnet 

werden, ist dieser durch den Arbeitgeber über die Verarbeitung und Nutzung 

der Daten zu unterrichten, sobald die Leistungs- oder Verhaltenskontrolle dadurch 

nicht mehr gefährdet wird. 

121

122 

Zu Absatz 2 

- 25 - 

Absatz 2 befasst sich mit der Erhebung, Verarbeitung und Nutzung von Inhalten einer 

nur zu beruflichen oder dienstlichen Zwecken erlaubten Nutzung von Telefondiensten. 

Telefondienste im Sinne dieser Vorschrift sind Dienste für das Führen von 

Inlands- und Auslandsgesprächen (vgl. § 3 Nummer 17 Telekommunikationsgesetz). 

Erfasst wird nicht nur die Nutzung von Telefonnetzen, sondern auch die Nutzung anderer 

sprachgestützter Kommunikationsangebote, wie Telefonieren über das Internet 

(Voice over Internet Protocol - VoIP). Inhalte einer sprachlichen Kommunikation werden 

wegen ihrer erhöhten Schutzbedürftigkeit anders als die Inhalte schriftbasierter 

Arten der Telekommunikation behandelt. Erfasst wird durch Absatz 2 allein der Inhalt 

eines laufenden Kommunikationsvorgangs, nicht aber dessen nähere Umstände. 

Der Arbeitgeber darf die Inhalte einer nach Satz 1 erlaubten Nutzung von Telefondiensten 

nur erheben, verarbeiten und nutzen, sofern er hierzu ein berechtigtes Interesse 

hat – hierzu gehört auch die Gewährleistung des ordnungsgemäßen Betriebs 

von Telekommunikationsnetzen und Telekommunikationsdiensten, einschließlich der 

Datensicherheit - und sowohl der Beschäftigte als auch seine Kommunikationspartner 

vorher in die Datenerhebung, -verarbeitung oder -nutzung durch den Arbeitgeber 

eingewilligt haben und über das Tätigwerden des Arbeitgebers auch konkret unterrichtet 

worden sind. Ein berechtigtes Interesse des Arbeitgebers liegt regelmäßig 

nicht vor bei Gesprächen der Beschäftigten mit ihren Interessenvertretungen. Eine 

Einwilligung des Kommunikationspartners liegt vor, wenn er nach der Unterrichtung 

das Telefonat fortsetzt. Ein heimliches Mithören von Telefonaten ist dem Arbeitgeber 

damit in den Fällen des Satzes 1 untersagt. 

Satz 2 betrifft den Sonderfall, dass die Nutzung von Telefondiensten wesentlicher 

Inhalt der geschuldeten Arbeitsleistung des Beschäftigten ist (z.B. Callcenter). Es 

erscheint sachgerecht, dass der Arbeitgeber in solchen Fällen die Möglichkeit hat, 

die Arbeitsleistung seines Beschäftigten ohne dessen konkretes Wissen im Einzelfall 

stichprobenhaft oder anlassbezogen authentisch zur Kenntnis nehmen zu können. 

Da lediglich eine stichprobenartige oder anlassbezogene Erhebung, Verarbeitung 

und Nutzung der Inhaltsdaten zulässig ist, ist eine lückenlose Kontrolle des Beschäftigten 

ausgeschlossen. Der Beschäftigte muss nach Satz 2 zudem vorab über die 

Möglichkeit z.B. des Mithörens durch den Arbeitgeber in einem eingegrenzten Zeitraum 

informiert sein. Gleiches gilt für seine Kommunikationspartner, die darüber hinaus 

darin eingewilligt haben müssen.

- 26 - 

Macht der Arbeitgeber von der Befugnis nach Satz 2 Gebrauch, hat er den Beschäftigten 

unverzüglich, d. h. ohne schuldhaftes Zögern, nachträglich darüber zu unterrichten, 

Eine stichprobenartige oder anlassbezogene Leistungs- oder Verhaltenskontrolle 

ist nicht möglich bei Gesprächen der Beschäftigten mit ihren Interessenvertretungen. 

Inhalte dieser Gespräche dürfen auf der Grundlage des Satzes 2 nicht erhoben 

werden. 

Zu Absatz 3 

Absatz 3 betrifft Inhalte einer ausschließlich zu beruflichen oder dienstlichen Zwecken 

erlaubten Nutzung von Telekommunikationsdiensten, die keine Telefondienste 

sind. Inhalte einer solchen Kommunikation darf der Arbeitgeber erheben, verarbeiten 

und nutzen, sofern es zur Gewährleistung des ordnungsgemäßen Betriebs von Telekommunikationsnetzen 

oder Telekommunikationsdiensten, einschließlich der Datensicherheit 

oder für eine stichprobenartige oder anlassbezogene Leistungs- oder Verhaltenskontrolle 

erforderlich ist und schutzwürdige Interessen des Beschäftigten am 

Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegen (vgl. insoweit 

die Begründung zu Absatz 1). 

Mit Satz 2 wird klargestellt, dass der Arbeitgeber die in Satz 1 genannten Daten auch 

dann erheben, verarbeiten und nutzen darf, wenn dies für den ordnungsgemäßen 

Geschäftsbetrieb des Arbeitgebers in den Fällen einer Versetzung, Abordnung oder 

Abwesenheit erforderlich ist, sofern keine schutzwürdigen Interessen des Beschäftigten 

am Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegen. Sofern 

der Arbeitgeber ohne Kenntnis des Beschäftigten Daten erhebt, verarbeitet oder 

nutzt, um eine stichprobenartige oder anlassbezogene Verhaltens- oder Leistungskontrolle 

durchzuführen, darf er dies nur nach den Maßgaben des § 32e. 

Zu Absatz 4 

Während die Absätze 1 bis 3 den andauernden Telekommunikationsvorgang betreffen, 

betrifft Absatz 4 den Umgang mit den Daten und Inhalten einer abgeschlossenen 

Telekommunikation. Die Unterscheidung zu den Absätzen 1 bis 3 ist erforderlich, da 

mit Telekommunikation nach § 3 Nummer 22 des Telekommunikationsgesetzes der 

technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen 

mittels Telekommunikationsanlagen bezeichnet wird. Die Telekommunikation ist somit 

mit dem Empfang der übermittelten Signale abgeschlossen. Die Inhalte und Verbindungsdaten 

der abgeschlossenen Telekommunikation eines Beschäftigten, etwa 

die auf dem Arbeitsplatzcomputer eingegangenen E-Mails, dürfen nach Absatz 4 

vom Arbeitgeber gemäß den §§ 32c und 32d erhoben, verarbeitet und genutzt wer- 

123

124 

- 27 - 

den. Das bedeutet, dass die Erhebung erforderlich sein muss für die Durchführung, 

Beendigung oder Abwicklung des Beschäftigungsverhältnisses. Dieses ist z. B. der 

Fall, wenn wegen der Abwesenheit des Beschäftigten die dienstlichen oder beruflichen 

E-Mails von dem Vertreter des Beschäftigten oder dem Arbeitgeber selbst weiter 

bearbeitet werden müssen. Der Arbeitgeber darf die Inhalte und weiteren Daten 

der abgeschlossenen Telekommunikation allerdings nur erheben, verarbeiten und 

nutzen, und somit zur Kenntnis nehmen, sofern es sich nicht um erkennbar private 

Inhalte handelt. Die Erhebung, Verarbeitung und Nutzung privater Inhalte und Daten 

der abgeschlossenen Kommunikation eines Beschäftigten ist nur zulässig, wenn dies 

zur Durchführung des ordnungsgemäßen Geschäftsbetriebes unerlässlich ist. Das ist 

z. B der Fall, wenn bei Erkrankung des Beschäftigten seine elektronische Post 

zwecks weiterer Bearbeitung der dienstlichen E-Mails gesichtet werden muss. 

Weitere Voraussetzung ist, dass der Arbeitgeber den Beschäftigten hierauf schriftlich 

hingewiesen hat. Die Kenntnisnahme der Kommunikationsinhalte der Beschäftigten 

mit ihren Interessenvertretungen ist auf der Grundlage des Absatzes 4 nicht zulässig, 

weil dies zur Durchführung des ordnungsgemäßen Geschäftsbetriebes nicht 

notwendig ist. 

Zu § 32j (Unterrichtungspflichten) 

Die Vorschrift regelt die Benachrichtigungspflicht des Arbeitgebers bei Datenpannen. 

Satz 1 verpflichtet den Arbeitgeber zur unverzüglichen Mitteilung an die Betroffenen. 

Nach Satz 2 ist auch die zuständige Aufsichtsbehörde unverzüglich zu unterrichten, 

wenn schwerwiegende Beeinträchtigungen der Rechte oder schutzwürdigen Interessen 

der Beschäftigten drohen. Satz 3 bestimmt die entsprechende Geltung des § 42a 

Sätze 3 bis 4 und 6. 

§ 32k (Änderungen) 

Die Vorschrift verpflichtet den Arbeitgeber grundsätzlich, Dritten, an die er Beschäftigtendaten 

übermittelt hat, die Änderung, Löschung oder Sperrung dieser Daten unverzüglich 

mitzuteilen. Diese Pflicht besteht ausnahmsweise nicht, wenn die Mitteilung 

zur Wahrung der schutzwürdigen Interessen der Beschäftigten nicht erforderlich 

ist

- 28 - 

§ 32l (Einwilligung, Geltung für Dritte, Rechte der Interessenvertretungen, 

Beschwerderecht) 

Zu Absatz 1 

Mit dieser Regelung wird den Besonderheiten des Beschäftigungsverhältnisses und 

der Situation der Beschäftigten Rechnung getragen. Abweichend von § 4 Abs. 1 

kann die Einwilligung des Beschäftigten nicht generell, sondern nur in den in diesem 

Unterabschnitt ausdrücklich bestimmten Fällen die Zulässigkeit der Erhebung, Verarbeitung 

oder Nutzung der Beschäftigtendaten begründen. 

Zu Absatz 2 

Die Regelungen dieses Unterabschnitts gelten auch für Dritte im Sinne von § 3 Absatz 

8, die, ohne Auftragsdatenverarbeiter zu sein, für den Arbeitgeber tätig sind. Der 

Dritte ist für die Einhaltung der datenschutzrechtlichen Vorschriften selbst verantwortlich. 

Für Auftragsdatenverarbeiter gilt weiterhin § 11. 

Zu Absatz 3 

Absatz 3 stellt klar, dass die Rechte der Interessenvertretungen der Beschäftigten 

durch die Neuregelungen nicht beeinträchtigt werden. Die Ausübung der Rechte der 

Interessenvertretungen bleibt umfassend geschützt. Im Hinblick auf die in den §§ 32 

bis 32l enthaltenen Regelungen bleiben die Beteiligungsrechte der Interessenvertretungen 

unberührt, insbesondere das Mitbestimmungsrecht des Betriebsrates bei der 

Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, 

das Verhalten oder die Leistung der Beschäftigten zu überwachen (§ 87 Absatz 1 

Nummer 6 Betriebsverfassungsgesetz). Nicht berührt werden zudem die Erhebung, 

Verarbeitung und Nutzung aller für die Ausübung von Beteiligungsrechten der Interessenvertretungen 

erforderlichen Daten wie zum Beispiel bei Einstellungen und 

Kündigungen nach den §§ 99 und 102 Betriebsverfassungsgesetz. Die unbeeinflusste 

Wahrnehmung der Rechte der Interessenvertretungen wird durch die Änderungen 

des BDSG nicht tangiert. 

Andere das Beschäftigungsverhältnis betreffende Verbote der Datenerhebung, - 

verarbeitung oder -nutzung werden von den Regelungen des zweiten Unterabschnitts 

nicht verdrängt. Das BDSG hebt insofern keine anderen Schutzrechte auf. 

125

126 

Zu Absatz 4 

- 29 - 

Absatz 4 betrifft das Beschwerderecht des Beschäftigten, wenn dieser auf Grund 

tatsächlicher Anhaltspunkte den Verdacht hat, dass der Arbeitgeber Beschäftigtendaten 

unbefugt erhebt, verarbeitet oder nutzt. In einem solchen Fall hat sich der Beschäftigte 

zunächst an den Arbeitgeber selbst zu wenden. Hilft der Arbeitgeber der 

Beschwerde nicht ohne schuldhaftes Zögern ab, kann sich der Beschäftigte an die 

Datenschutzaufsichtsbehörde wenden. Durch die Ausübung des Beschwerderechts 

dürfen dem Beschäftigten aufgrund des arbeitsrechtlichen Maßregelungsverbots (§ 

612a BGB) keine Nachteile entstehen. 

Zu Absatz 5 

Absatz 5 verbietet die Abweichung von den Regelungen des zweiten Unterabschnitts 

zu Ungunsten der Beschäftigten. Das Verbot gewährleistet, dass der mit den gesetzlichen 

Vorschriften geschaffene Datenschutzstandard für Beschäftigte nicht unterschritten 

wird. Damit wird nicht ausgeschlossen, dass Tarifverträge, Betriebs- oder 

Dienstvereinbarungen die gesetzlichen Regelungen konkretisieren oder Alternativen 

gestalten, um jeweiligen betrieblichen Besonderheiten Rechnung zu tragen. Solche 

Vereinbarungen sind zulässig, soweit sie von den gesetzlichen Regelungen nicht 

zum Nachteil der Beschäftigten abweichen. 

Zu Nummer 8 

Redaktionelle Änderung. 

Zu Nummer 9 

Redaktionelle Änderung. 

Zu Nummer 10 

Mit den Änderungen werden in § 43 die erforderlichen Bußgeldvorschriften eingefügt. 

Zu Artikel 2 (Änderung des Bundesverfassungsschutzgesetzes) 

Die Änderung in § 27 übernimmt die Formulierung des § 11 BNDG und erfolgt, um 

einen Gleichklang zwischen den Dienstegesetzen zu erreichen.

- 30 - 

Artikel 2 trägt dem besonderen Sicherheitsbedürfnis des Bundesamtes für Verfassungsschutz 

Rechnung, indem Daten zum Schutz seiner Mitarbeiter, Einrichtungen, 

Gegenstände und Quellen gegen sicherheitsgefährdende oder geheimdienstliche 

Tätigkeiten, also zur Eigensicherung, erhoben werden dürfen (§ 9 Absatz 1 Satz 1 in 

Verbindung mit § 8 Absatz2 Bundesverfassungsschutzgesetz). Die anzuwendenden 

Vorschriften des Bundesdatenschutzgesetzes ergeben sich aus § 27 Bundesverfassungsschutzgesetz. 

Die neuen Bestimmungen des Beschäftigtendatenschutzes finden grundsätzlich 

auch für das Bundesamt für Verfassungsschutz Anwendung. 

Die Regelung in dem neuen Satz 2 verfolgt das Ziel, einerseits zwar das Bundesamt 

für Verfassungsschutz als Arbeitgeber nicht schlechter zu stellen als andere Arbeitgeber, 

und die bestehenden Befugnisse des Bundesamtes für Verfassungsschutz im 

Bereich der Eigensicherung zu bewahren, andererseits aber ihm zugleich als Sicherheitsbehörde 

keine neuen Befugnisse zu verleihen. Das Bundesamt für Verfassungsschutz 

darf daher weiterhin im Bereich der Eigensicherung Daten so erheben 

und verarbeiten, wie es dies schon bisher nach seinen Rechtsgrundlagen darf und 

wird darin durch die neuen Regelungen des Bundesdatenschutzgesetzes nicht eingeschränkt. 

Zu Artikel 3 (Änderung des MAD-Gesetzes) 

Die Änderung in § 13 übernimmt die Formulierung des § 11 BND-Gesetz und erfolgt, 

um einen Gleichklang zwischen den Dienstegesetzen zu erreichen. 

Die Formulierung zur Änderung des § 13 MAD-Gesetz in Artikel 3 lehnt sich eng an 

die Regelungen zur Änderung des BND-Gesetz in Artikel 4 bzw. zur Änderung des 

Bundesverfassungsschutzgesetzes in Artikel 2 an. 

Die neuen Bestimmungen des Beschäftigtendatenschutzes finden damit grundsätzlich 

auch für den Militärischen Abschirmdienst Anwendung. 

Die Regelung in dem neuen Satz 2 verfolgt das Ziel, einerseits zwar den Militärischen 

Abschirmdienst als Arbeitgeber nicht schlechter zu stellen, als andere Arbeitgeber, 

und die bestehenden Befugnisse des Militärischen Abschirmdienstes im Bereich 

der Eigensicherung zu bewahren, andererseits aber ihm zugleich als Sicherheitsbehörde 

keine neuen Befugnisse zu verleihen. Der Militärische Abschirmdienst 

darf daher weiterhin im Bereich der Eigensicherung Daten so erheben und verarbeiten, 

wie er es bisher nach seinen Rechtsgrundlagen darf und wird darin durch die 

127

128 

- 31 - 

neuen Regelungen des Bundesdatenschutzgesetzes nicht eingeschränkt. 

Zu Artikel 4 (Änderung des BND-Gesetzes) 

Artikel 4 trägt dem besonderen Bedürfnis des Bundesnachrichtendienstes (BND) 

Rechnung, Daten zum Schutz seiner Mitarbeiter, Einrichtungen, Gegenstände und 

Quellen gegen sicherheitsgefährdende oder geheimdienstliche Tätigkeiten, also zur 

Eigensicherung zu erheben, zu verarbeiten und zu nutzen (§ 2 Absatz 1 Nummer 1 

BND-Gesetz). Die Befugnis steht unter der grundsätzlichen gesetzlichen Maßgabe, 

dass die anzuwendenden Bestimmungen des Bundesdatenschutzgesetzes nicht 

entgegenstehen. Die anzuwendenden Bestimmungen des Bundesdatenschutzgesetzes 

ergeben sich aus § 11 BND-Gesetz. 

So finden nach § 11 BND-Gesetz bislang unter anderem die §§ 13 bis 20 des Bundesdatenschutzgesetzes, 

die die Datenverarbeitung personenbezogener Daten für 

öffentliche Stellen regeln, keine Anwendung. Die Nichtanwendbarkeit dieser datenschutzrechtlichen 

Regelungen gründet sich auf die besonderen geheimhaltungsbezogenen 

Anforderungen der Eigensicherung des Bundesnachrichtendienstes als 

Nachrichtendienst. Als Auslandsnachrichtendienst steht er im besonderen Aufklärungsfokus 

ausländischer Geheimdienste. Die Geheimhaltung seines Wissens und 

seiner Methodik und der Schutz seiner Mitarbeiter ist unabdingbare Voraussetzung 

seiner Funktionsfähigkeit. Diese Besonderheiten wurden vom historischen Gesetzgeber 

in § 11 BND-Gesetz berücksichtigt. Sie besitzen unverändert Gültigkeit. 

Die Regelungen zum Beschäftigtendatenschutz nach diesem Gesetz finden grundsätzlich 

auch für die Mitarbeiter des Bundesnachrichtendienstes Anwendung. Wird 

der Bundesnachrichtendienst zum Zwecke der Eigensicherung tätig, finden die bestehenden 

Befugnisse des BND-Gesetzes Anwendung. 

Die Regelung in Satz 2 verfolgt das Ziel, einerseits zwar den Bundesnachrichtendienst 

als Arbeitgeber nicht schlechter zu stellen, als andere Arbeitgeber, und seine 

bestehenden Befugnisse im Bereich der Eigensicherung zu bewahren, andererseits 

aber ihm zugleich als Sicherheitsbehörden keine neuen Befugnisse zu verleihen. Der 

Bundesnachrichtendienst darf daher weiterhin im Bereich der Eigensicherung Daten 

so erheben und verarbeiten, wie er es schon bisher nach seinen Rechtsgrundlagen 

darf und wird darin durch die neuen Regelungen des Bundesdatenschutzgesetzes 

nicht eingeschränkt.

- 32 - 

Zu Artikel 5 (Änderung des Bundesbeamtengesetzes) 

Die §§ 106 bis 115 des Bundesbeamtengesetzes (BBG) enthalten bereichsspezifische 

Regelungen für den Umgang mit personenbezogenen Daten von Beamtinnen 

und Beamten des Bundes. Für den Umgang mit Personalaktendaten im Sinne von 

§ 106 Absatz 1 Satz 4 des Bundesbeamtengesetzes soll es zunächst bei der geltenden 

Rechtslage bleiben, nach der die eben genannten Vorschriften des Bundesbeamtengesetzes 

den entsprechenden Regelungen des Bundesdatenschutzgesetzes 

vorgehen. Soweit personenbezogene Daten von Beamtinnen und Beamten des Bundes 

dagegen nicht zur Personalakte gehören (Sachaktendaten), sollen für den Umgang 

mit diesen Daten die neuen §§ 32e bis 32l des Bundesdatenschutzgesetzes 

gelten. Ob die datenschutzrechtlichen Bestimmungen des Bundesbeamtengesetzes 

darüber hinaus an die neuen Bestimmungen zum Beschäftigtendatenschutz im Bundesdatenschutzgesetz 

angepasst werden müssen, wird die Bundesregierung in einem 

nächsten Schritt prüfen. 

Nach § 50 des Beamtenstatusgesetzes (BeamtStG) sind auch für Beamtinnen und 

Beamte der Länder Personalakten zu führen. Über § 50 BeamtStG hinausgehende 

bundesgesetzliche Vorgaben für die Erhebung und Verwendung personenbezogener 

Daten von Beamtinnen und Beamten der Länder sind nicht erforderlich. 

Zu § 106 Absatz 5 Satz 1 

Satz 1 bestimmt, dass für die Erhebung und Verwendung derjenigen personenbezogenen 

Daten von Beamtinnen und Beamten, die nach § 106 Absatz 1 Satz 4 bis 6 

des Bundesbeamtengesetzes materiell Bestandteil der Personalakte sind, ausschließlich 

die entsprechenden beamtenrechtlichen Bestimmungen (insbesondere 

die §§ 106 bis 115 des Bundesbeamtengesetzes sowie Vorschriften des Bundesdisziplinargesetzes) 

anzuwenden sind. 

Zu § 106 Absatz 5 Satz 2 

Anders als § 106 Absatz 1 bis 3, die §§ 107 bis 109, 110 Absatz 1 bis 3 sowie die §§ 

111 bis 114 des Bundesbeamtengesetzes sind § 106 Absatz 4 (Erhebung personenbezogener 

Daten) und § 110 Absatz 4 des Bundesbeamtengesetzes (Einsichtsrecht) 

nicht auf Personalaktendaten im Sinne des § 106 Absatz 1 Satz 4 bis 6 des Bundesbeamtengesetzes 

beschränkt. Sie gelten auch für personenbezogene Daten, die 

nicht zu den materiellen Personalaktendaten gehören, sondern Sachaktendaten sind. 

Das sind Daten, die trotz ihres Bezuges zur Person und dem Dienstverhältnis besonderen, 

von der Person und dem Dienstverhältnis sachlich zu trennenden Zwecken 

dienen (neben den in § 106 Absatz 1 Satz 6 des Bundesbeamtengesetzes genann- 

129

130 

- 33 - 

ten Prüfungs-, Sicherheits- und Kindergeldakten z. B. Vorgänge zu Stellenbesetzungsverfahren, 

zur Ausgabe von Dienstausweisen oder die täglich anfallenden Daten 

im Rahmen der Arbeitszeiterfassung). Für die Verwendung von nach § 106 Absatz 

4 des Bundesbeamtengesetzes erhobenen personenbezogenen Daten in Sachakten 

galten auch bisher schon die Vorschriften des Bundesdatenschutzgesetzesüber 

die Datenverarbeitung der öffentlichen Stellen, weil das Bundesbeamtengesetz 

insoweit keine bereichsspezifischen Regelungen enthält. Für den Umgang mit personenbezogenen 

Daten von Beamtinnen und Beamten, die keine Personalaktendaten 

sind, gelten nunmehr neben § 106 Absatz 4 des Bundesbeamtengesetzes die §§ 32 

b, 32d bis 32l des Bundesdatenschutzgesetzes, soweit der Tatbestand des § 12 Absatz 

4 des Bundesdatenschutzgesetzes erfüllt ist. Diese Vorschriften sind deshalb 

unbeschränkt auch für Beamtinnen und Beamte des Bundes sowie wegen der Verweisung 

in § 46 des Deutschen Richtergesetzes auch für die Richterinnen und Richter 

des Bundes anwendbar. 

Von den in § 106 Absatz 5 Satz 2 in Bezug genommen Vorschriften setzen die §§ 

32b und 32d des Bundesdatenschutzgesetzes allerdings eine Datenerhebung nach 

§§ 32, 32a bzw. 32c des Bundesdatenschutzgesetzes voraus. Da bei der Erhebung 

personenbezogener Daten von Bewerberinnen, Bewerbern, Beamtinnen und Beamten 

sowie ehemaliger Beamtinnen und ehemaliger Beamter der § 106 Absatz 4 des 

Bundesbeamtengesetzes nach dem Grundsatz des § 1 Absatz 3 des Bundesdatenschutzgesetzes 

diesen Vorschriften vorgeht, ordnet § 106 Absatz 5 Satz 2 zweiter 

Halbsatz an, dass bei der Anwendung der §§ 32b und 32d des Bundesdatenschutzgesetzes 

eine Datenerhebung nach § 106 Absatz 4 des Bundesbeamtengesetzes an 

die Stelle der §§ 32, 32a oder 32c des Bundesdatenschutzgesetzes tritt. 

Zu Artikel 6 (Änderung des Soldatengesetzes) 

Der bisherige Satz 2 entfällt in Angleichung an eine entsprechende Änderung des 

Bundesbeamtengesetzes durch Artikel 1 des Dienstrechtsneuordnungsgesetzes vom 

5. Februar 2009 (BGBl. I S. 160). 

Die neuen Sätze 2 und 3 stellen eine Folgeänderung zu Artikel 5 dar. Für das Verhältnis 

zwischen Soldatengesetz und Bundesdatenschutzgesetz gelten die Ausführungen 

in der Begründung zu Artikel 5 entsprechend.

Zu Artikel 7 

- 34 - 

Die Vorschrift regelt das Inkrafttreten des Gesetzes. 

Dokument: GE Beschäftigtendatenschutz.doc 

Stand: 24.08.2010, 09:47 Uhr, BMI-0-15-7 

131

132 

Stellungnahme 

Deutscher 

Gewerkschaftsbund 

Bundesvorstand 

Abteilung Recht 

03.09.10 

Zum Entwurf eines Gesetzes 

zur Regelung des Beschäftigtendatenschutzes

Vorbemerkung: 

Die Bundesregierung hat am 25.8. 2010 den Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes 

beschlossen. Damit sollen entsprechend dem Koalitionsvertrag mit umfassenden 

allgemeingültigen Regelungen für den Datenschutz am Arbeitsplatz mehr Rechtssicherheit erreicht 

werden. 

Dieser Ansatz ist durchaus zu begrüßen. Der Entwurf bleibt aber deutlich hinter dem zurück, was 

im Koalitionsvertrag vereinbart war. Dort heißt es: „Wir setzen uns für eine Verbesserung des 

Arbeitnehmerdatenschutzes ein und wollen Mitarbeiterinnen und Mitarbeiter vor Bespitzelungen 

an ihrem Arbeitsplatz wirksam schützen.“ 

Diesen Anforderungen wird der Entwurf nicht gerecht. Erforderlich wären klare Begrenzungen 

durch gesetzliche Verbote der Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten. Außerdem 

fehlen in dem Entwurf Regelungen zu Schadensersatz- und Entschädigungsansprüchen 

und ausdrückliche Verwertungsverbote. Richtigerweise hätte dieser Bereich in einem eigenständigen 

Gesetz geregelt werden müssen. Durch den vorliegenden Entwurf wird kein effektiver Datenschutz 

im Beschäftigtenverhältnis gewährleistet werden können. Es fehlt jegliche Transparenz, 

denn das BDSG gehört nicht einmal zu den aushangpflichtigen Gesetzen. 

Der DGB hat bereits im Dezember 2008 Eckpunkte zu den notwendigen gesetzlichen Regelungen 

zum Arbeitnehmerdatenschutz beschlossen. Danach muss Zweck des Datenschutzes sein, den 

Einzelnen davor zu schützen, dass durch Missbrauch seiner Daten eine Beeinträchtigung seines 

grundrechtlich geschützten Persönlichkeitsrechts erfolgt. Insbesondere muss die gezielte Beobachtung 

und Überwachung von Beschäftigten am Arbeitsplatz, aber auch im privaten Umfeld ausdrücklich 

verboten werden. Dazu gehört z.B. auch der Einsatz von Detektiven und sog. Testkäufern. Der 

Begriff der Überwachung ist dabei weit zu verstehen, d. h., sowohl Video- und Tonaufnahmen, direktes 

Ausspähen, Abgleichen von Daten (insbesondere dem persönlichen Bereich zurechenbaren 

wie Kontonummer, Postverkehr u. ä.), Kontrolle von Telefongesprächen und bei der Verwendung 

moderner Kommunikationsmittel wie E-Mail und Internet, Scannen und das Erstellen von Bewegungsprofilen 

mit Hilfe vor Ortungssystemen müssen erfasst werden. Ausnahmen von diesem 

grundsätzlichen Verbot dürfen nur für gesetzlich ausdrücklich geregelte Fälle, wenn eine andere 

Möglichkeit der Aufklärung, insbesondere die Einschaltung von Polizei und Staatsanwaltschaft 

nicht möglich ist, z.B. bei begründetem Verdacht einer strafbaren Handlung oder schwerwiegender 

Schädigung des Arbeitgebers oder Gefährdung zugelassen werden. Ebenso muss für diese Fälle 

ein Verfahren gesetzlich geregelt werden, das das Zustimmungserfordernis der betrieblichen Interessenvertretung 

und, falls diese nicht vorhanden ist, die Einbeziehung einer neutralen Stelle, z. B. 

den Landesdatenschutzbeauftragten, sowie Dokumentationspflichten und die Pflicht zum geringstmöglichen 

Eingriff festlegt. 

Der Grundansatz der Bundesregierung geht in eine völlig andere Richtung. Vorgesehen ist, den 

Datenschutz vor allem dem Interesse der Unternehmen an Korruptionsbekämpfung und zur Einhaltung 

von Compliance-Anforderungen unterzuordnen. Dies führt nicht zu mehr, sondern zu weniger 

Datenschutz. Dieser Ansatz eröffnet die Möglichkeit, weitgehend den Datenschutz auszuhebeln mit 

der Begründung, pflichtwidriges Verhalten aufdecken zu wollen. Damit wird das bestehende 

Schutzniveau erheblich unterschritten. Dies entspricht exakt den Forderungen, die die Arbeitgeberverbände 

seit Jahren in der Diskussion um den Datenschutz immer wieder erheben. Hinzu kommt, 

dass der Begriff Compliance nicht gesetzlich definiert ist und sehr weitgehende Möglichkeiten des 

133

134 

Arbeitgebers beinhaltet, „Wohlverhalten“ der Beschäftigten zu fordern – und mit den geplanten 

Neuregelungen auch zu überwachen. Zusammen mit den unbestimmten Rechtsbegriffen „Erforderlichkeit“ 

und „Verhältnismäßigkeit“ sind damit der Willkür Tor und Tür geöffnet. Denn mit der Begründung, 

die Einhaltung von Compliance-Anforderungen kontrollieren zu müssen, setzt der Arbeitgeber 

selbst den Maßstab der Erforderlichkeit und die Bedingungen der Verhältnismäßigkeit. 

Das entspricht weder dem Prinzip der Rechtssicherheit, noch ist es transparent. 

Sinnvollerweise kann „Compliance“ nur die Einhaltung des geltenden Rechts bedeuten. Dazu gehören 

aber gerade auch das informationelle Selbstbestimmungsrecht der Arbeitnehmer und der 

Beschäftigtendatenschutz. Es gibt keine Rechtfertigung dafür, unter den Aspekten von Compliance 

und Korruptionsbekämpfung neue Einschränkungen des Datenschutzes vorzunehmen und damit 

einen „Freibrief“ für Ausforschung auszustellen. Die fehlende Rechtfertigung für Eingriffe in Beschäftigtengrundrechte 

kann durch schwammige Begriffe höchstens überdeckt, aber nicht ersetzt 

werden. 

Der Entwurf enthält keine klaren, eindeutigen Vorschriften zur wirksamen Begrenzungen der Erhebung, 

Verarbeitung und Nutzung von Beschäftigtendaten und zum Schutz des Persönlichkeitsrechts. 

Die vorgeschlagenen Regelungen enthalten dagegen wachsweiche, dehnbare Formulierungen, 

die den Arbeitgebern viele Möglichkeiten eröffnen können, die gesetzlich zur Verfügung 

gestellten Instrumente zum „Ausspionieren“ zu nutzen. Es wird infolge des Gesetzes zu Auseinandersetzungen 

in den Betrieben und Unternehmen über die Zulässigkeit von z.B. der Nutzung und 

Verwendung biometrischer Merkmale von Beschäftigten kommen, mit denen sich dann die Gerichte 

befassen müssen, weil die vorgeschlagenen Regelungen Spielräume in Auslegung und Anwendung 

offen lassen. Die unbestimmten Begriffe „betriebliche Gründe“ und „schutzwürdige Belange/Interessen 

des Beschäftigten“ ziehen sich wie ein roter Faden durch den Gesetzentwurf und 

gelten sowohl vor als auch während des Beschäftigungsverhältnisses Im Übrigen fehlt es an Regelungen 

zum Gebot der Datensparsamkeit. Dies müsste ausdrücklich als Grundsatz festgehalten 

werden. 

Problematisch ist vor allem auch der versteckte und verschachtelt gestaltete Einwilligungsvorbehalt 

„zu Gunsten“ der Beschäftigten, den das Gesetz an verschiedenen Stellen vorsieht. Das Beschäftigungsverhältnis 

ist keine gleichrangige Beziehung. Es besteht eine Abhängigkeit der ArbeitnehmerInnen, 

die es dem Arbeitgeber im Zweifel möglich macht, eine Generaleinwilligung zur Datenerhebung 

schon bei Aufnahme des Arbeitsverhältnisses zu erhalten. Die Freiwilligkeit der Einwilligung 

ist deshalb sehr zweifelhaft 

Selbst die „Verbesserungen“ gegenüber dem Vorentwurf des BMI ändern an dieser Bewertung 

nichts. Denn als einzige wesentliche Änderung in diese Richtung ist die Beschränkung der heimlichen 

Videoüberwachung zu werten. Die hätte aber einer verfassungsrechtlichen Überprüfung sowieso 

nicht standgehalten. Da gleichzeitig die Möglichkeiten zur Anordnung von Gesundheitsuntersuchungen 

erheblich ausgeweitet werden, erscheint der Entwurf in der Gesamtbewertung eher 

noch negativer als der Vorentwurf. Das auch von Arbeitgeberseite Kritik geübt wird, liegt in der Natur 

der Sache, da sie immer ein Interesse daran hat, Schutzrechte so weit wie möglich einzuschränken. 

Ein Indiz für die Ausgewogenheit der Regelung ist das nicht. 

Ein Gesetz, das keinen politischen Mehrwert im Sinne von mehr Arbeitnehmerschutz darstellt und 

sogar noch hinter dem Status Quo, den die Rechtsprechung gesetzt hat, zurückbleibt, wird von den

Gewerkschaften ausdrücklich abgelehnt. Das Gesetz schafft Rechtsgrundlagen, die das Ausspionieren 

von Beschäftigten ausdrücklich ermöglichen. 

Das System des elektronischen Entgeltnachweises ELENA hat viel Widerstand ausgelöst. Wenn 

aber schon die Sammlung von Daten zur Gewährung von Leistungen der Sozialversicherungsträger 

im Hinblick auf die Rechtsprechung des BVerfG zur Vorratsdatenspeicherung verfassungsrechtlich 

bedenklich ist, um wie viel problematischer ist die Eröffnung von fast unbeschränkten 

Möglichkeiten für den Arbeitgeber, Daten zu sammeln und aufzubewahren und sie zur Überwachung 

seiner Beschäftigten zu nutzen? 

Zu den Regelungen im Einzelnen 

Zu Art. 1 Nr. 3: 

Die Regelung bedarf der Klarstellung. Es ist sicherlich nicht Sinn der Neuregelung, den Datenschutz 

unter den Vorbehalt einer Betriebsvereinbarung zu stellen. Dies ist auch nach der bisherigen 

Rechtsprechung nicht möglich. Diese stellt vielmehr inhaltliche Anforderungen an eine Betriebsvereinbarung. 

Diese sind gesetzlich zu definieren. Darüber hinaus ist gesetzlich klarzustellen, 

für welche konkret bezeichneten Regelungen eine Betriebsvereinbarung in Frage kommt. Insbesondere 

die Übermittlung personenbezogener Daten an Dritte kann nicht allein auf eine Betriebsvereinbarung 

gestützt werden, wenn die persönliche Einwilligung des Betroffenen nicht vorliegt. 

Zu Art. 1 Nr. 5: § 27 Abs. 3 Anwendungsbereich: 

Der Anwendungsbereich ist weit gefasst. Sowohl der sachliche als auch der personelle Anwendungsbereich 

soll umfassend sein. Dies wird grundsätzlich begrüßt. 

Zu Art. 1 Nr. 7: § 32 Datenerhebung vor Begründung eines Beschäftigungsverhältnisses: 

Zu Abs. 1: 

Vorgesehen ist, dass der Arbeitgeber Beschäftigtendaten erfragen darf, die er benötigt, um die 

Eignung des Bewerbers für eine in Betracht kommende Tätigkeit festzustellen. Dabei wird nicht nur 

auf die fachliche Eignung abgestellt, sondern es wird ganz allgemein von Eignung gesprochen und 

dann ausdrücklich auf die persönlichen Fähigkeiten, Kenntnisse und Erfahrungen zurückgegriffen. 

Damit wird dem Arbeitgeber ein erheblicher Spielraum eingeräumt, da er selbst definieren kann, 

welche persönlichen Voraussetzungen er für notwendig hält und welche nicht. Eine objektive Feststellung 

der Erforderlichkeit ist damit von vorneherein erheblich eingeschränkt, da der Arbeitgeber 

einerseits die Kriterien für die Eignung aufstellt und dann selbst darüber entscheidet, was zur Feststellung 

dieser Kriterien erforderlich ist. Um diese Voraussetzungen feststellen zu können, wird die 

Erhebung aller nur denkbaren Daten möglich sein. Das Persönlichkeitsrecht kann nur dann wirksam 

geschützt werden, wenn nur rein objektive, auf die fachliche Eignung bezogene Kriterien zugelassen 

werden. Nur auf diese fachlich bezogenen Kriterien dürfen sich Fragen oder andere Datenermittlungen 

beziehen. Denn nur so kann festgestellt werden, welche Daten tatsächlich erforderlich 

sind. 

135

136 

Zu Abs. 2: 

Darüber hinaus soll die Datenerhebung nach Abs. 2 in Bezug auf rassische und ethnische Herkunft, 

Behinderung, Gesundheit, sexuelle Identität, Vermögensverhältnisse, Vorstrafen oder laufende 

Ermittlungsverfahren dann erfolgen können, wenn die Voraussetzungen von § 8 Abs. 1 AGG 

vorliegen. Das ist dann der Fall, wenn diese Angaben wegen der Art der auszuübenden Tätigkeit 

oder den Bedingungen ihrer Ausübung wesentliche und entscheidende berufliche Anforderungen 

darstellt sind. Teilweise entspricht diese Regelung der ebenfalls unzureichenden Regelung im 

AGG. 

Bereits in der Stellungnahme des Deutschen Gewerkschaftsbundes zum AGG-Gesetzentwurf ist 

darauf hingewiesen worden, dass hier nicht die Art der auszuübenden Tätigkeit oder die Bedingungen 

ihrer Ausübung wesentliche und entscheidende berufliche Anforderungen sein können, 

sondern es muss sich um eine Sowohl-als-auch-Regelung handeln, d. h., sowohl die Art der auszuübenden 

Tätigkeit als auch die Bedingungen ihrer Ausübung müssen bestimmte Fragen rechtfertigen, 

ansonsten wird in das Persönlichkeitsrecht zu weit eingegriffen. „Oder“ müsste also durch 

„und“ ersetzt werden. 

Völlig inakzeptabel ist es, die Frage nach der Gesundheit zuzulassen. Einerseits regelt Abs. 3, 

dass von Beschäftigten keine Auskunft darüber verlangt werden kann, ob eine Schwerbehinderung 

oder Gleichstellung mit einem Schwerbehinderten vorliegt, andererseits sollen Fragen nach der 

Gesundheit aber zulässig sein. Dies ist vollkommen widersprüchlich. Darüber hinaus ist die Frage 

insbesondere dann äußerst problematisch, wenn man es bei der bisherigen Formulierung belässt 

und die Bedingungen der Ausübung als alleiniges Kriterium zulässt. Die Bedingungen der Ausübung 

können nämlich einseitig vom Arbeitgeber bestimmt werden, und unterliegen keinem objektiven 

Prüfungsmaßstab. 

Die Frage nach den Vermögensverhältnissen ist ebenfalls durch nichts zu rechtfertigen, da keine 

Konstellation denkbar ist, in der die privaten Vermögensverhältnisse in irgendeinem Zusammenhang 

eine wesentliche oder entscheidende berufliche Anforderung sein könnten. Gerade die Vermögensverhältnisse 

sind ebenso wie z.B. die Familienplanung eine ausschließlich private Angelegenheit 

– sie gehen den Arbeitgeber schlicht nichts an. 

Wir schlagen – im Sinne von Transparenz und Rechtsklarheit- vor, einen Katalog mit unerlaubten 

Fragebereichen – wie etwa Schwangerschaft, Familienplanung oder Gewerkschaftszugehörigkeit – 

ausdrücklich in das Gesetz aufzunehmen. Sowohl vom BAG als auch vom EuGH gibt es dazu eine 

differenzierte Rechtsprechung. 

Zu Abs. 3: 

Diese Regelung dient der Klarstellung und ist daher zu begrüßen. 

Zu Abs. 4: 

Die Regelung entspricht § 9 Abs. 1 AGG, die ihrerseits aber wegen der Verletzung des Art. 4 

Abs. 2 der Richtlinie 2000/78/EG europarechtswidrig ist. Danach ist die Frage nach der Zugehörigkeit 

zu einer Religionsgemeinschaft oder Weltanschauungsgemeinschaft nur dann zulässig, wenn 

unter Beachtung des Selbstverständnisses der jeweiligen Religionsgemeinschaft im Hinblick auf ihr 

Selbstbestimmungsrecht und (und eben nicht „oder“) nach der Art der Tätigkeit diese Zugehörigkeit 

eine gerechtfertigte berufliche Anforderung darstellt. Dies muss klargestellt werden. Denn sonst 

wäre auch die Frage nach der Religionszugehörigkeit bei Tätigkeiten zulässig, die mit dem Verkündungsbereich 

nichts zu tun haben, z. B. bei einer Reinigungskraft. Die wäre aber mit der Richtlinie

nicht zu vereinbaren und ginge auch deutlich über die berechtigten Interessen von Religionsgemeinschaften 

hinaus. 

Zu Abs. 5: 

Die Regelung stellt eine Verbesserung gegenüber dem ursprünglichen Entwurf dar, ist aber immer 

noch nicht klar. In der vorliegenden Form könnte sie so gelesen werden, dass ein Arbeitgeber, der 

Zwecke der Berichterstattung oder Meinungsäußerung verfolgt, also z. B. ein Verlag, pauschal Daten 

über die politische Meinung und Gewerkschaftszugehörigkeit der Beschäftigten erheben dürfte. 

Das ist sicherlich nicht gemeint, muss aber ausdrücklich ausgeschlossen werden. 

Zu Abs. 6: 

Mit der Regelung, dass Beschäftigtendaten, die allgemein zugänglich sind, auch erhoben und genutzt 

werden dürfen, und lediglich ein vorheriger Hinweis notwendig ist, werden Vorgehensweisen 

wie z. B. sog. Scorrings (Detekteien werden beauftragt, im privaten Umfeld des Bewerbers nach 

Auffälligkeiten zu suchen; z. B. wird kontrolliert, ob auffällig viele Alkoholflaschen im Abfall sind, 

welche Zeitungen gelesen werden, wie das Freizeitverhalten ist usw.) und Internetrecherchen weiterhin 

möglich sein. Informationen, deren Wahrheitsgehalt nicht überprüft wird und auch nicht überprüft 

werden kann, werden damit personelle Entscheidungen beeinflussen können. Berücksichtigt 

man dabei, dass es jede Menge Informationen auf frei zugänglichen Plattformen gibt, die ohne Wissen 

und erst recht ohne Zustimmung derjenigen, über die Informationen eingestellt werden, wird 

deutlich, dass hier Informationen erhoben werden können, die auch im Interesse der Arbeitgeber 

keinesfalls zur Eignungsfeststellung genutzt werden sollten. .Denn ohne dass damit sinnvoll eine 

Entscheidung getroffen werden kann, verletzt eine solche Ermittlung das Persönlichkeitsrecht der 

Betroffenen. 

Ebenso ist es falsch, eine Datenerhebung bei Dritten zuzulassen, wenn der Bewerber einwilligt. 

Denn diese Einwilligung wird im Zweifel erteilt werden müssen, soll die Bewerbung erfolgreich sein. 

Ebenso ist es unzureichend, den Bewerber nur auf Verlangen über den Inhalt der erhobenen Daten 

zu unterrichten. Denn im Zweifel wird dieses Verlangen nicht geäußert, um die weiteren Chancen 

nicht zu verbauen. Deshalb muss der Bewerber über alle über ihn erhobenen Daten informiert werden, 

und zwar ohne konkrete Aufforderung. 

Nach der Begründung des Entwurfs (Bes. Teil, S. 13) stellt diese Bestimmung keine den § 4 BDSG 

ausschließende, sondern eine diesen „ergänzende“ Regelung dar. Das schafft eine intransparente, 

unklare und konturlose Ermächtigung für den Arbeitgeber, die in der Praxis zu Ausweitung und 

Missbrauch geradezu einlädt. 

Zu Abs. 7: 

In Abs. 7 wird festgelegt, dass die Datenerhebung an den Maßstab der Verhältnismäßigkeit geknüpft 

ist. 

Das sollte zur Klarstellung der Beweislast in positiver Fassung geschehen und indem klargestellt 

wird, dass es sich um eine zusätzliche Hürde für Datenerhebungen handelt. Diese dürfen also unter 

Beachtung aller übrigen Rechtmäßigkeitsvoraussetzungen nur dann durchgeführt werden, wenn 

sie verhältnismäßig sind. Aus Gründen der Transparenz sollte die Methode der Verhältnismäßigkeitsprüfung 

im Text selbst beschrieben werden. 

137

138 

Zu § 32a: Ärztliche Untersuchungen und Eignungstests vor Begründung eines Beschäftigungsverhältnisses 

Zu Abs. 1: 

Satz 1 erster Teil wird akzeptiert. Nicht akzeptiert wird die Alternative, dass die Bedingungen der 

Arbeitsausübung ausreichen, um Daten durch Untersuchungen zu erheben. Hier gilt das zur Frage 

nach der Gesundheit in § 32 Abs. 2 Gesagte entsprechend. Nur dann, wenn der Arbeitgeber alles 

ihm Mögliche getan hat, um eine Gesundheitsgefährdung am konkreten Arbeitsplatz auszuschließen, 

kann überhaupt eine gesundheitliche Untersuchung zulässig sein. Die Fälle müssen ausdrücklich 

gesetzlich geregelt werden und dürfen nicht der Entscheidungsbefugnis des einzelnen 

Arbeitgebers überlassen bleiben. 

Die ärztliche Untersuchung und Weitergabe des Ergebnisses durch den Vorbehalt der Einwilligung 

des Arbeitnehmers rechtfertigen zu wollen, ist praxisfern. Eine datenschutzrechtlich relevante Einwilligung 

setzt die Freiwilligkeit der Entscheidung voraus. Insbesondere im Bewerbungsverfahren 

wird aber im Zweifel kein Bewerber eine Einwilligung zu einer gesundheitlichen Untersuchung verweigern, 

wenn der Arbeitgeber sie einfordert, weil er ansonsten nicht weiter für die Einstellung in 

Betracht kommt. 

Die Einwilligung sollte im Übrigen wegen der im Interesse des Bewerbers gebotenen Warnfunktion 

an die Schriftform gebunden sein. 

Zu Abs. 2: 

Durch die Regelung in Abs. 2 wird dem Arbeitgeber jede Möglichkeit gegeben, durch weitere Untersuchungen 

und Prüfungen, die nicht weiter spezifiziert sind, den Bewerber umfassend auszuforschen. 

Weder ist näher beschrieben, was unter Untersuchungen zu verstehen ist, noch sind Prüfungen 

(außer durch die Umschreibung „Eignungstest“) in irgendeiner Art eingegrenzt. Darüber 

hinaus gilt auch hier das zu § 32 Abs. 2 gesagte: die Notwendigkeit der Prüfung an die Art der Tätigkeit 

oder die Bedingungen ihrer Ausübung zu knüpfen überlässt es dem Arbeitgeber, die Bedingungen 

der Ausübung festzulegen und damit die Rechtfertigung für bestimmt Untersuchungen und 

Prüfungen anzuordnen. Objektive Notwendigkeit wird nicht gefordert – subjektive Wünsche des 

Arbeitgebers genügen. Völlig ad absurdum geführt wird die Regelung dadurch, dass der Eignungstest 

nach wissenschaftlich anerkannten Methoden durchzuführen ist, sofern solche bestehen. 

Dies bedeutet im Umkehrschluss, dass dann, wenn keine Fachkunde besteht, die Tests trotzdem 

durchgeführt werden dürfen. Damit ist jeder noch so obskure Test zulässig. 

Letzter Satz klärt die Schweigepflicht nur für Personen, die ohnehin einer Schweigepflicht unterliegen. 

Nach unserer Ansicht ist die Schweigepflicht ausnahmslos auf alle mit der Untersuchung befassten 

Personen auszuweiten. 

Der Absatz muss ersatzlos gestrichen werden, wenn im Einstellungsverfahren keine umfassende 

Durchleuchtung der Bewerber gewollt ist.

Zu § 32b: Datenverarbeitung und -nutzung vor Begründung des 

Beschäftigungsverhältnisses 

Zu Abs. 1: 

Wir verweisen auf die Kritik zu § 32a Abs. 1. Durch das Abstellen ausschließlich auf die allgemeine 

Eignung des Bewerbers ist dem Arbeitgeber ein ausufernder Spielraum überlassen, welche Daten 

er zur Feststellung dieser Eignung für notwendig hält, da er selbst die Kriterien der Eignung festlegen 

kann. 

Außerdem fehlt bei der letzten Alternative („oder für die Entscheidung über die Begründung des 

Beschäftigungsverhältnisses erforderlich“) jeder eingrenzende Maßstab. Klar ist nur, dass es noch 

sonstige Parameter außer der Eignung geben soll. Welche anderen Umstände gemeint sind, von 

denen die Einstellungsentscheidung abhängig gemacht werden soll, wird nicht einmal in der Entwurfsbegründung 

angedeutet. 

Zu Abs. 2: 

Es ist inakzeptabel, dass der Arbeitgeber, Daten, die er, auf welchem Weg auch immer, erhalten 

hat, mit der Begründung, sie seien für seine Entscheidung zur Begründung des Beschäftigungsverhältnisses 

notwendig, verarbeiten und nutzen kann. Noch gesteigert wird dies, wenn der Beschäftigte 

ihm „unverlangt“ Daten übermittelt. Die Kräfteverhältnisse im Arbeitsverhältnis und insbesondere 

im Bewerbungsverhältnis ermöglichen so dem Arbeitgeber immer den Zugang. Er kann immer 

mehr oder weniger deutlich machen, dass er erwartet, dass ihm bestimmte Informationen „unverlangt“ 

zur Verfügung gestellt werden. Mit einer tatsächlichen Freiwilligkeit hat dies in dieser Abhängigkeitssituation 

überhaupt nichts zu tun. 

Darüber hinaus fördert die Regelung innerbetriebliches „Denunziantentum“; bezeichnend die Begründung, 

S. 14: „ihm auf andere Weise zugetragen“. Der gesamte Abs. 2 sollte deshalb gestrichen 

werden. 

Zu § 32c: Datenerhebung im Beschäftigungsverhältnis 

Zu Abs. 1: 

Es ist unklar, welche Beschäftigtendaten überhaupt erforderlich sind zur Beendigung des Arbeitsverhältnisses. 

Klar ist, dass bestimmte Daten zur Durchführung und zur Abwicklung des Beschäftigungsverhältnisses 

und natürlich auch zur Begründung des Beschäftigungsverhältnisses notwendig 

sind. Welche Daten aber zur Beendigung des Beschäftigungsverhältnisses notwendig sein 

könnten, ergibt sich weder aus dem Gesetz noch aus der Begründung. Hier ist eine Klarstellung 

erforderlich. Abzulehnen und klar auszuschließen ist jedenfalls eine allgemeine Erlaubnis von Datenerhebungen 

zur Vorbereitung von Kündigungen und einer „Munitionssammlung“ für künftige 

Kündigungsschutzprozesse. 

Zu Abs. 2: 

Hier wird auf die Ausführung zu § 32a verwiesen. 

Zu Abs. 3: 

Grundsätzlich sollten nur die gesetzlich ausdrücklich vorgeschriebenen Untersuchungen zulässig 

sein, wie z.B. nach Arbeitsmedizinverordnung. Mit der Berechtigung, Untersuchungen oder Tests 

139

140 

über die gesetzlich vorgeschriebenen Untersuchungen hinaus anordnen zu können, wenn der Arbeitgeber 

sie für erforderlich hält, erhält der Arbeitgeber einen Freibrief, krankheitsbedingte Kündigungen 

oder Kündigungen wegen Leistungsmängeln sowie Versetzungen und Änderungskündigungen 

vorzubereiten. Damit verschlechtert der Gesetzentwurf Arbeitnehmerrechte eklatant. Der 

Arbeitnehmer kann sich kaum gegen die Anordnung einer solchen Untersuchung wehren, auch 

wenn er sie für noch so unberechtigt hält. Denn eine Weigerung im Beschäftigtenverhältnis ist in 

der Regel mit Konsequenzen verbunden, und diese können häufig nicht als Benachteiligung nachgewiesen 

werden. 

Werden die Ergebnisse der arbeitsmedizinischen Untersuchungen missbräuchlich genutzt, können 

unliebsame oder leistungsschwächere Beschäftigte zukünftig stark unter Druck gesetzt werden. 

Außerdem besteht bei obligatorischen Gesundheitstests die Gefahr der Diskriminierung. Deshalb 

wird beispielsweise die obligatorische Testung auf HIV durch die IAO-Empfehlung 200 (Recommendation 

concerning HIV and AIDS and the World of Work) abgelehnt, die auch von der Bundesregierung 

mit Unterstützung der Arbeitgeberverbände und der Gewerkschaften beschlossen worden 

ist. Auch wenn argumentiert werden könnte, dass solche Daten für das Gesundheitsmanagement 

benötigt werden, um bessere Prävention leisten zu können bestehen bei der Datenerhebung 

Zielkonflikte zwischen besserer Prävention und dem Schutz individueller Daten (zum Bsp. auch bei 

der Gefährdungsbeurteilung oder im Rahmen des Betrieblichen Eingliederungsmanagements). 

Generell werden deshalb Eignungsuntersuchungen von den meisten Experten sehr kritisch gesehen. 

Der DGB und seine Mitgliedsgewerkschaften lehnen die Regelung nachdrücklich ab. Die Bedingungen 

der Ausübung können nämlich einseitig vom Arbeitgeber bestimmt werden, und unterliegen 

keinem objektiven Prüfungsmaßstab. Darüber hinaus müssen dann, wenn die Bedingungen 

der Ausübung eine konkrete gesundheitliche Gefährdung darstellen können, zunächst alle Maßnahmen 

unternommen werden, um die gesundheitliche Gefährdung auszuschließen (vgl. z. B. § 4 

ArbSchG: Gefahren sind an ihrer Quelle zu bekämpfen und individuelle Maßnahmen nachrangig). 

Zu § 32d: Datenverarbeitung und -nutzung im Beschäftigungsverhältnis 

Zu Abs. 1 und 2: 

Hier wird auf das bereits Gesagte zur Erforderlichkeit und Verhältnismäßigkeit verwiesen. Es bleibt 

allein in der Hand des Arbeitgebers, nach welchen Kriterien er seine Entscheidungen treffen will. 

Ein Arbeitnehmer wird während des Arbeitsverhältnisses dagegen nicht klagen – will er nicht seinen 

Arbeitsplatz verlieren. 

Zu Abs. 1 Nr. 2: 

Der damit frei erlaubte Austausch von Zwecken ist abzulehnen. Damit ist eine unkontrollierbare 

Lockerung der Zweckbindung der erhobenen Daten verbunden („Gelegenheitsfunde“). 

Zu Abs. 2: 

Vgl. Anm. zu § 32b Abs. 2 und zu § 32 c Abs. 1. 

Zu Abs. 3: 

Diese Regelung stellt das Kernstück der Neuregelung dar. Sie ist geeignet, sogar den Schutz der, 

wie dargestellt unzureichend durch die übrigen Neuregelungen geschaffen wird, ins Gegenteil umzukehren. 

Nach dieser Regelung darf der Arbeitgeber Beschäftigtendaten, die er rechtmäßig erworben 

hat, immer verwenden, wenn er die Begehung von Pflichtverletzungen zu seinen Lasten 

oder Straftaten durch den Beschäftigen aufdecken will. Es gibt keinerlei Vorschriften darüber, wel-

che Voraussetzungen dafür vorliegen müssen, ob z. B. ein konkreter Verdacht oder irgendwie geartete 

Anhaltspunkte für tatsächliche Vertragsverletzungen vorliegen müssen, oder ob eine abstrakte 

Gefahr im Sinne des Polizeirechts oder darüber hinaus ausreichen soll. Immerhin ist gegenüber 

dem Referentenentwurf des BMI der Datenabgleichung zur Verhinderung von Straftaten oder 

Pflichtverletzungen nicht mehr vorgesehen und es muss sich außerdem um schwerwiegende 

Pflichtverletzungen handeln. Durch die fehlende Definition, wann die Voraussetzungen vorliegen, 

Daten zur Aufdeckung verwenden zu dürfen, wird diese Verbesserung jedoch sehr relativiert. Denn 

die Regelung, dass im Verdachtsfall die Daten personalisiert werden dürfen, legt den Schluss nahe, 

dass der automatisierte Abgleich auch ohne konkreten Verdacht erfolgen darf. Dann würde 

aber der Begriff „aufdecken“ zwangläufig auch die Prävention einschließen – es bleibt also in der 

Wirkung bei der früheren Fassung. Positiv ist, dass durch die beispielhafte Inbezugnahme der 

§§ 266, 299,331 und 334 StGB der Begriff der schwerwiegenden Vertragsverletzung näher definieret 

wird. Allerdings berücksichtigt auch die Neufassung in keiner Weise das Strafverfolgungsmonopol 

des Staates, sondern der Arbeitgeber wird durch diese Regelung zu einer Art Betriebspolizei, 

die selbst ermittelt und zu einer Betriebsstaatsanwaltschaft, die selbst Anklagen erhebt. Dies alles 

aber, ohne dass die Einschränkungen staatlicher Ermittlungen bei Straftaten oder Ordnungswidrigkeiten 

vorliegen müssen. Damit und weil insbesondere ungeklärt ist, ab wann der Arbeitgeber „aufdecken“ 

darf, sind die Ausforschungsmöglichkeiten nach diesem Teil des Entwurfs eher noch weitergehender. 

Hier werden die Vorgänge bei der Deutschen Bahn im Nachhinein legalisiert und gerechtfertigt. 

Schließlich ist noch darauf hinzuweisen, dass es keinerlei Verfahrensvorschriften gibt, 

wie anonymisiert und pseudonymisiert werden soll. Denn tatsächlich könnte das wirksam nur erfolgen, 

wenn ein unabhängiger Dritter mit dem Abgleich beauftragt würde. Im Betrieb selber ist es 

dagegen kaum möglich die Anonymität zu gewährleisten. 

Die Regelung wird insgesamt strikt abgelehnt und muss ersatzlos gestrichen werden. 

Zu Abs. 4: 

Es ist ungenügend, dass der Arbeitgeber lediglich den Dritten, den er ja selber mit der Datenverarbeitung 

beauftragt hat bzw. durch den er die Nutzung zulässt, nur darauf hinweisen muss, dass er 

Daten nur für den Zweck verarbeiten und nutzen darf, zu dessen Erfüllung sie ihm übermittelt wurden. 

Es muss vielmehr vorgesehen werden, dass dann, wenn der Dritte, dessen Dienste sich der 

Arbeitgeber bedient, gegen diese Verpflichtung verstößt, der Arbeitgeber dafür in Anspruch genommen 

werden kann. Außerdem muss festgelegt werden, dass nach Auftragende die Daten unverzüglich 

zu löschen sind. 

Zu Abs. 5: 

Die Regelung ist geeignet, die Persönlichkeitsrechte zu stärken und wird deshalb begrüßt – durch 

die weitgehenden Befugnisse, die der Arbeitgeber aber ansonsten erhält, wird sie entwertet. 

Zu § 32e: Datenerhebung, -verarbeitung und -nutzung ohne Kenntnis des Beschäftigten zur 

Verhinderung und Aufdeckung von Straftaten und anderen schwerwiegenden Pflichtverletzungen 

im Beschäftigungsverhältnis 

In diesem Paragraphen setzt sich die in § 32d Abs. 3 vorgenommene Verschiebung des Schwerpunkts 

der Neuregelung vom Schutz von Beschäftigtendaten und der grundgesetzlich garantierten 

Persönlichkeitsrechte von Beschäftigten hin zur Berechtigung des Arbeitgebers zur weitgehenden 

weiteren Datenerhebung und -nutzung mit der Begründung, z.B. Korruption bekämpfen zu wollen, 

weiter fort. 

141

142 

Zu Abs. 2: 

Es ist kritisch zu sehen, dass überhaupt Beschäftigtendaten ohne Wissen der Betroffenen erhoben 

werden dürfen. Voraussetzung ist zwar, dass Tatsachen den Verdacht begründen müssen, dass 

eine schwerwiegende Vertragsverletzung zu Lasten des Arbeitgebers, die den Arbeitgeber zu einer 

fristlosen Kündigung berechtigen würde, oder eine Straftat vorliegt. Welche Anforderungen an Tatsachen 

und Verdacht gestellt werden ist jedoch offen. Richtigerweise müssten Tatsachen einen 

hinreichenden Tatverdacht begründen um Rechtssicherheit herzustellen. Auch fehlt es an jeder 

Abgrenzung zum Ermittlungsmonopol des Staates bei Straftaten. Die Tatsache, dass nach Nr. 2 

auch die Verhinderung von Pflichtverletzungen und Straftaten ausreicht, um die Datenerhebung zu 

legitimieren wirft außerdem die Frage auf, welche Anforderungen für diesen Fall vorgesehen sind. 

Denn die Anforderung, dass Tatsachen den Verdacht begründen müssen ist ausdrücklich nur für 

Nr. 1 vorgesehen. Nr. 2 knüpft nur an die Erforderlichkeit an, die vom Arbeitgeber zunächst ohne 

weitere Überprüfung, etwa durch den Datenschutzbeauftragten, festgesetzt wird. Der Beschäftigte 

kann diese Erforderlichkeit nicht einmal überprüfen lassen, weil er ja gerade keine Kenntnis von der 

Datenerhebung hat. 

Zwar wird in diesem Absatz die Verwendung von Daten nicht ausdrücklich geregelt – sie scheint 

aber immanent erlaubt zu sein. Denn ohne Verwendung kann die Erhebung allein nicht zur Aufdeckung 

oder Verhinderung von Straftaten oder Pflichtwidrigkeiten führen. Außerdem müsste klargestellt 

werden, auf welche konkrete Gruppe oder Person sich die Datenerhebung beziehen soll. 

Dabei ist die entsprechende Regelung nicht auf Korruptionsbekämpfung beschränkt, sondern gilt 

für Straftaten ganz allgemein. Auch der Diebstahl von Bagatellgegenständen ist eine Straftat. 

Selbst wenn nur ein diesbezüglicher Verdacht besteht, ist es nach dem Entwurf dem Arbeitgeber 

erlaubt, heimlich Daten zu erheben. Damit wird der Verdachtskündigung Vorschub geleistet. 

Zu Abs. 3: 

Das zur Frage der Erforderlichkeit in Abs. 2 ausgeführte gilt in gleicher Weise für die 

Verhältnismäßigkeitsprüfung: sie ist erst möglich, wenn die Verletzung des Persönlichkeitsrechts 

bereits erfolgt ist. . Damit wird aber keinerlei Transparenz hergestellt.. 

Zu Abs. 4: 

Die Regelung geht in die richtige Richtung sollte aber unter Nr. 1 bezüglich des zeitlichen Umfangs 

einschränkender sein, da die vorgesehene Regelung missbrauchsanfällig ist. 

Zu Abs. 5: 

Es fehlen Regelungen, wie und bei wem die Dokumentation zu erfolgen hat sowie 

Sanktionsregelungen bei unterlassener Dokumentation. 

Darüber hinaus ist keinerlei vorherige Information beispielsweise der betrieblichen Interessenvertretung 

oder des Datenschutzbeauftragten vorgesehen, ebenso wenig wie eine Kontrolle durch 

diese Gremien. Hier muss ein eigenständiges Mitbestimmungsrecht konstituiert werden. 

Um einen angemessenen Ausgleich zwischen den Interessen des Arbeitgebers und denen der 

Beschäftigten zu erreichen, müsste zumindest vorgesehen werden, dass Ausmaß, Ziel und Methode 

der Datenerhebung, -verarbeitung und -nutzung vorab festgelegt und dokumentiert werden, 

dass vor Einleitung der Maßnahmen der betriebliche Datenschutzbeauftragte und die betriebliche 

Interessenvertretung und, soweit eine dieser Institutionen oder beide nicht vorhanden sind, eine 

unabhängige Stelle, z. B. beim Landesbeauftragten für den Datenschutz, beteiligt wird.

Zu Abs. 7: 

Die Regelung wird begrüßt, wobei allerdings nicht klar ist, worin die Notwendigkeit der Inbezugnahme 

von Abs. 6 S. 2-4 liegt, da es sich um ein absolutes Verbot und eine uneingeschränkte 

Löschungsvorschrift handelt – für eine Dokumentation des Grundes der Speicherung oder Löschung, 

oder die Löschung spätestens am Ende des Kalenderjahres ist also eigentlich kein Raum. 

Zu § 32f: Beobachtung nicht öffentlich zugänglicher Betriebsstätten mit optischelektronischen 

Einrichtungen 

Es fehlen Regelungen gegen den Einsatz von Detektiven und Systemen zur Mitteilung von Korruptionsverdächtigungen 

von Beschäftigten („internes Whistleblowing“). 

Zu Abs. 1: 

Auch mit dieser Neuregelung werden die betrieblichen Interessen über das informationelle Selbstbestimmungsrecht 

der Beschäftigten gestellt. Mit dem Insbesonderenkatalog werden die Zutrittskontrolle, 

die Wahrnehmung des Hausrechts, der Schutz des Eigentums und Qualitätskontrollen 

auf eine Stufe mit besonderen Sicherheitsinteressen auch für die Beschäftigten oder der Gefahrenabwehr 

gestellt. Damit ist die Definition der wichtigen betrieblichen Interessen auf einer sehr niedrigen 

Schwelle angesiedelt und lässt es zu, dass beispielsweise eine Videoüberwachung, die bei Lidl 

erhebliche Empörung ausgelöst hat, zukünftig zulässig sein wird. Denn dort war es gerade der 

Schutz des Eigentums und die Verhinderung von Ladendiebstählen, die Lidl als Begründung dafür 

angeführt hat, dass die Überwachungen durchgeführt worden sind. Deshalb ist es notwendig, dass 

der Insbesonderenkatalog beschränkt wird auf die Fälle, in denen ein besonderes Sicherheitsinteresse 

aufgrund der Besonderheiten der jeweiligen Arbeitsstätte besteht. 

Nicht akzeptabel ist aber, dass nach dem Entwurf demnächst in jedem Betrieb die offene Videoüberwachung 

zur Grundausstattung gehören wird. Diese wird dann zusätzlich noch zur Verhaltens- 

und Leistungskontrolle eingesetzt werden. Nach der Rechtsprechung des BAG sind der Videoüberwachung 

strenge Grenzen gezogen worden. Hiervon ist dem Gesetzentwurf nichts zu erkennen. 

Schließlich ist die notwendige Transparenz immer noch nicht hergestellt. Ziel ist der generelle 

Ausschluss der heimlichen Videoüberwachung. Ein allgemeiner Hinweis auf den bloßen „Umstand“ 

der Videoüberwachung reicht dazu nicht. Hier ist eine Konkretisierung erforderlich, damit deutlich 

wird, wie, an welcher Stelle und wann die Videoüberwachung erfolgt. Fehlen diese Voraussetzungen 

erhält der Arbeitgeber vom Gesetzgeber die Handhabe, jederzeit eine Videoüberwachung im 

Betrieb einzusetzen, nachdem sie dies vorher (wo auch immer) kenntlich gemacht haben. 

. 

Zu Abs. 2: 

Die Regelung wird grundsätzlich begrüßt, müsste aber dahingehend geändert werden, dass Betriebsstätten, 

die auch zur privaten Lebensgestaltung des Beschäftigten dienen, nicht per Video 

überwacht werden dürfen. Nur so kann sichergestellt werden, dass die Privatsphäre von Beschäftigten 

auch am Arbeitsplatz ausreichend geschützt wird. Außerdem sollte klargestellt werden, dass 

dort generell jede Überwachung unzulässig ist. Auch ist der kollektive und kommunikative und nicht 

nur der individuelle Rückzugsraum entgegen der Begründung, S., schutzwürdig (Pausen- und Raucherräume). 

143

144 

Zu § 32g: Ortungssysteme 

Zu Abs. 1: 

Die Nutzung von Ortungssystemen zur Sicherheit der Beschäftigten ist grundsätzlich nicht zu beanstanden. 

Es müsste jedoch gesetzlich geregelt werden, in welchen konkreten Fällen Ortungssysteme 

überhaupt zur Sicherheit der Beschäftigten eingesetzt werden dürfen. Überdies ist für den 

jeweiligen Einsatz eine schriftliche Einverständniserklärung nach ausreichender Information erforderlich. 

Inwieweit zur Koordinierung des Einsatzes von Beschäftigten eine Nutzung von Ortungssystemen 

zulässig sein soll, ist nicht erkennbar. Insbesondere ist nicht erkennbar, welche Fallgruppen 

hier erfasst werden sollen. Wenn es beispielsweise darum geht, den Einsatz von Berufskraftfahrern 

bei einer Spedition oder einem Taxiunternehmen zu koordinieren, ist die Verwendung von 

Ortungssystemen überflüssig, da ein eventuell notwendig werdender neuer Einsatz dem jeweiligen 

Beschäftigten sowieso mündlich übermittelt werden muss. Vorher ihn dann auch noch zu orten, ist 

überflüssig. Die Zulässigkeit einer solchen Ortung beinhaltet vielmehr die Gefahr, dass durch eine 

solche Ortung die Fahrer unter ständiger Beobachtung gestellt werden. Insofern bietet zwar der 

letzte Satz von Abs. 1 eine gewisse Sicherheit, besser wäre es jedoch, grundsätzlich die Verwendung 

zur Koordinierung des Einsatzes auszuschließen. 

Unklar ist, wie die Ortung auf die Arbeitszeit beschränkt werden kann. Nach der Begründung sind 

offenbar Pausenzeiten und Ähnliches der Arbeitszeit zugerechnet worden. 

Zu Abs. 2 und 3: 

Die Regelungen sind grundsätzlich nicht zu beanstanden. 

Zu § 32h: Biometrische Verfahren 

Zu Abs. 1: 

Dass die Verwendung biometrischer Merkmale, außer die in Form von Lichtbildern ohne Einwilligung 

der Betroffenen zulässig sein soll, ist nicht einsichtig. Tatsächlich sollte auch hier eine schriftliche 

Einwilligung notwendig sein. Mit der Regelung, dass betriebliche Gründe zu Autorisierungs- 

und Authentifikationszwecken ausreichen, um die Verwendung biometrischer Merkmale erforderlich 

zu machen, wird dem Arbeitgeber ein Alleinentscheidungsrecht übertragen, biometrische Merkmale 

zu erheben und zu verwenden. Die Einschränkung zur Autorisierungs- und Authentifikationszwecken 

hilft dabei nicht. Es ist eine grundsätzliche Frage, ob zu diesen Zwecken biometrische Merkmale 

und damit ganz grundlegende Bereiche der Privatsphäre vom Arbeitgeber erhoben werden 

dürfen. Zwingend muss nach unserer Auffassung eine Einschränkung auf sicherheitsrelevante Bereiche 

erfolgen. Dass jeder Arbeitgeber zukünftig Fingerabdrücke oder Irisaufnahmen für den Zugang 

zu allen Betriebsstätten verwenden darf, ist viel zu weitgehend und daher abzulehnen. 

S. 2 enthält zwar ein Einwilligungserfordernis, lässt dafür aber jede Eingrenzung der zulässigen 

Ziele vermissen. Das ist angesichts der begrenzten Aussagekraft von Einwilligungen des Beschäftigten 

im Arbeitsverhältnis abzulehnen.

Zu § 32i: Nutzung von Telekommunikationsdiensten 

Zu Abs. 1: 

Die Regelung in Abs. 1 ist abgesehen von Nr. 3 angemessen. Bezüglich der Regelung in Nr. 3 wird 

auf die Ausführungen zu § 32d Abs. 3 verwiesen. 

Die Regelung dient nur dem Zwecke der Verhaltens- und Leistungskontrolle. 

Zu Abs. 2: 

Bei dieser Regelung wird der einschränkende Charakter der Nutzungserlaubnis von Telekommunikationsdaten 

in § 32i ausgehebelt. Wie bereits mehrfach gesagt, ist angesichts des Kräfteverhältnisses 

im Arbeitsverhältnis die Einwilligung des Beschäftigten kein angemessenes Regulativ bezüglich 

des Missbrauchs von Arbeitnehmerdaten. Ebenso wenig sind die berechtigten Interessen 

des Arbeitgebers eine Einschränkung, denn nach der gesamten Anlage der Neuregelung geht die 

Wertung des Gesetzgebers dahin, dass die berechtigten Interessen auf einer sehr niedrigen 

Schwelle vorliegen. Die Sonderregelungen für die Arbeit in Callcentern nach Satz 2 und 3 sind ebenfalls 

völlig unangemessen. Sie geben dem Arbeitgeber ein weitgehendes Recht, die berufliche 

Tätigkeit der Mitarbeiter dauerhaft aufzuzeichnen. Dies entspräche an anderen Arbeitsplätzen einer 

Dauerbeobachtung durch Video. Dass hier außerdem eine bloße Benachrichtigung, aber nicht 

einmal eine vorherige Einwilligung des Beschäftigten, so unzureichend sie auch sein mag, vorgesehen 

ist, setzt die Beschäftigten in Callcentern einem erheblichen Überwachungsdruck aus. Ebenso 

wenig ist die Einwilligung der Kommunikationspartner ein einschränkendes Kriterium, als 

sich an der bisherigen völlig unbefriedigenden Praxis nichts ändert. 

Es sollte klargestellt werden, dass eine schriftliche Einwilligung des Arbeitnehmers (nicht vorab im 

Arbeitsvertrag) und eine ausdrückliche Erklärung des Kommunikationspartners erforderlich ist. 

Zu Abs. 3: 

Es wird auf die Ausführung zu Abs. 1 verwiesen. 

Zu § 32j: Unterrichtungspflichten 

Zu Abs. 1: 

Die Regelung ist nicht weitgehend genug. Es ist nicht ausreichend, dass der Arbeitgeber bei unrechtmäßiger 

Übermittlung oder Kenntniserlangung bei Dritten dies dem Arbeitnehmer mitteilt. Er 

hat vielmehr alles ihm Zumutbare zu tun, um daraus entstehende Schäden auszuschließen und auf 

den Dritten einzuwirken, dass die Daten unverzüglich gelöscht werden. 

Zu § 32 l: Einwilligung, Geltung für Dritte, Rechte der Interessenvertretung, Beschwerderecht, 

Unabdingbarkeit 

Zu Abs. 4: 

Es ist praxisfern, das Recht der Beschäftigten, Verstöße gegen die unbefugte Datenerhebung, - 

verwendung oder –nutzung bei der zuständigen Behörde erst zuzulassen, wenn Vorab einer Beschwerde 

im Betrieb nicht abgeholfen wurde. Gerade in schweren Fällen, in denen der Beschäftigte 

davon ausgehen muss, dass der Rechtsverstoß mit voller Absicht erfolgt ist, wird er durch die 

Notwendigkeit, zunächst eine interne Beschwerde vorzunehmen. einem erheblichen Druck ausge- 

145

146 

setzt. Er wird in diesen Fällen immer mit Repressalien rechnen müssen – und im Zweifel die Beschwerde 

unterlassen. Im Übrigen konterkariert die Regelung die Rechtsprechung des BAG zu 

whistleblowing, die gerade dann, wenn der Arbeitgeber der „Täter“ ist, keine interne Beschwerde 

verlangt, weil sie unverhältnismäßig ist. Im Übrigen dürfte eine solche Beschränkung auch gegen 

die EU Datenschutzrichtlinie verstoßen. Denn nach Artikel 28 Absatz 4 der EU- 

Datenschutzrichtlinie 95/46 steht jedermann, das Recht zu, sich bei Verdacht auf Verstöße gegen 

Datenschutzbestimmungen direkt an unabhängige Kontrollbehörden zu wenden. Eine Einschränkung 

ist gerade nicht vorgesehen. 

Zu Nr. 10 Ergänzung von § 43: 

Die Vorschriften des § 43 lediglich und unvollständig zu ergänzen, wird den Bedürfnissen nach 

wirksamen und abschreckenden Sanktionen nicht gerecht. Zum einen werden nicht einmal alle 

Verstöße gegen die Pflichten des Arbeitgebers aus den Neuregelungen in den Bußgeldkatalog 

aufgenommen (z. B. fehlt die Erlangung von Daten von Dritten ohne Einwilligung nach § 32a Nr. 8), 

zum anderen müssten aber besonders schwere Verstöße auch strafbewehrt sein. Darüber hinaus 

fehlt die Regelung zu einem Entschädigungsanspruch des Beschäftigten bei Verletzung seines 

Persönlichkeitsrechts und ein Schadensersatzanspruch, wenn z. B. ein Bewerber aufgrund unrechtmäßig 

erlangter Daten im Bewerbungsverfahren die Stelle nicht erhält. 

Zusammenfassung 

Der Gesetzesentwurf verdient nicht den Namen, der ihm gegeben wurde. Es handelt sich nicht um 

den Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, sondern um einen 

Entwurf zur Regelung der Erlaubnis des Arbeitgebers zur Nutzung von Beschäftigtendaten. Die 

vorgesehenen Regelungen gehen viel zu weit und greifen in die Rechte der Beschäftigten, insbesondere 

in deren Recht auf informationelle Selbstbestimmung in nicht zu rechtfertigender Weise 

ein. Es ist fraglich, ob mit diesem Entwurf die Grenzen, die das Bundesverfassungsgericht für Eingriffe 

in das allgemeine Persönlichkeitsrecht in seinen datenschutzrechtlich relevanten Ausprägungen 

gesetzt hat, auch nur ansatzweise eingehalten werden. Es darf beim Datenschutz nicht darum 

gehen, Persönlichkeitsrechte auf denselben Rang wie das Recht der Unternehmer an ihrer wirtschaftlichen 

Betätigung zu stellen. Persönlichkeitsrechte müssen Vorrang haben und sind unverzichtbar.

Datenschutz im Arbeitsverhältnis ausgewogen und 

rechtssicher gestalten 

Balance zwischen Datenschutz und Compliance sicherstellen 

Februar 2010 

Ansprechpartner: 

Abteilung Arbeitsrecht 

T +49 30 2033-1200 

arbeitsrecht@arbeitgeber.de 

BDA | Bundesvereinigung der Deutschen Arbeitgeberverbände 

147

148 

Zusammenfassung 

Deutschland verfügt über ein im internationalen 

Vergleich sehr hohes Datenschutzniveau. Dies 

gilt im Verhältnis des Bürgers zum Staat, es gilt 

ebenso für das Verhältnis der Bürger untereinander, 

insbesondere auch für das Arbeitsverhältnis. 

Vor dem Hintergrund des hohen Niveaus des Datenschutzes 

innerhalb der Mitgliedsstaaten haben 

auch Kommission und Rat der Europäischen Union 

ihr Vorhaben aufgegeben, eine eigenständige 

Richtlinie für den Arbeitnehmerdatenschutz zu 

entwickeln. 

Ein ausgewogener Datenschutz im Arbeitsverhältnis 

ist sinnvoll. Ein solcher Datenschutz muss 

die Vertraulichkeit der Daten und Geschäftsgeheimnisse 

von Arbeitgebern und Arbeitnehmern 

wahren. Ein ausgewogener Datenschutz muss 

gleichzeitig sicherstellen, dass Korruptionen und 

Kriminalität in den Betrieben wirkungsvoll bekämpft 

werden können. 

Im Einzelnen 

I. Grundsatzregelung § 32 BDSG 

Die in das Bundesdatenschutzgesetz aufgenommene 

Grundsatzregelung zum Arbeitnehmerdatenschutz 

in einem neuen § 32 BDSG war überflüssig 

und macht das Datenschutzrecht nicht 

transparenter. Sie ändert aber an der bestehenden 

Struktur des Datenschutzes im Arbeitsverhältnis 

nichts. Vielmehr soll sie das geltende 

Recht wiedergeben. 

1. Struktur des § 32 BDSG 

In § 32 Abs. 1 BDSG werden im Wesentlichen 

zwei Fälle unterschieden. Nach Satz 1 dürfen für 

Zwecke des Beschäftigungsverhältnisses Daten 

des Beschäftigten erhoben, verarbeitet oder genutzt 

werden, wenn dies für die Entscheidung 

über die Begründung eines Beschäftigungsverhältnisses 

oder nach Begründung des Beschäftigungsverhältnisses 

für dessen Durchführung oder 

Beendigung erforderlich ist. 

Zur Aufdeckung von begangenen Straftaten dürfen 

personenbezogene Daten eines Beschäftigten 

nach Satz 2 dann erhoben, verarbeitet oder 

genutzt werden, wenn zu dokumentierende tatsächliche 

Anhaltspunkte den Verdacht begrün- 

den, dass der Betroffene im Beschäftigungsverhältnis 

eine Straftat begangen hat, die Daten zur 

Aufdeckung erforderlich sind und das schutzwürdige 

Interesse des Beschäftigten an dem Ausschluss 

der Datenerhebung, -verarbeitung oder - 

nutzung nicht überwiegt, insbesondere die Datennutzung 

nicht unverhältnismäßig ist. 

a. Zweck des Beschäftigungsverhältnisses 

Ausweislich der Begründung beschränkt sich 

§ 32 BDSG darauf, § 28 Abs. 1 Satz 1 Nr. 1 

BDSG zu konkretisieren und Satz 2 desselben 

Absatzes überflüssig zu machen, wenn die Daten 

zum Zweck des Beschäftigungsverhältnisses erhoben 

werden. Danach sollen die von der Rechtsprechung 

erarbeiteten Grundsätze des Datenschutzes 

im Beschäftigungsverhältnis nicht geändert, 

sondern lediglich zusammengefasst werden. 

Die Datenerhebung nach anderen Vorschriften 

des Bundesdatenschutzgesetzes oder anderer 

Gesetze (genannt werden ausdrücklich § 4a 

BDSG und § 22 Kunsturhebergesetz) soll möglich 

bleiben. Entsprechendes soll ausweislich der 

Gesetzesbegründung auch für § 28 Abs. 1 Satz 1 

Nr. 2 und 3 BDSG gelten, soweit die Datennutzung 

nicht zu Zwecken des Beschäftigungsverhältnisses 

stattfindet. Danach soll es möglich 

sein, zum Beispiel Maßnahmen zur Korruptionsbekämpfung 

auch präventiv zu ergreifen. 

b. Aufdeckung von Straftaten 

Satz 2 soll nur für begangene Straftaten bzw. deren 

Aufdeckung gelten. Entweder sind Maßnahmen 

zur Bekämpfung von Korruption mit dem 

Zweck des Beschäftigungsverhältnisses verbunden 

und wären demnach gem. § 32 S. 1 BDSG 

zulässig oder sie dienen nicht unmittelbar dem 

Zweck der Durchführung des Beschäftigungsverhältnisses; 

dann können entsprechende Maßnahmen 

auf § 28 Abs. 1 Satz 1 Nr. 2 und ggf. 3 

BDSG gestützt werden. Die Verhinderung von 

Straftaten bleibt nach der Begründung gestützt 

auf § 28 Abs. 1 Nr. 2 und 3 BDSG oder gestützt 

auf § 32 n. F. BDSG möglich. 

c. Begriff der Datei 

In Abs. 2 wird klargestellt werden, was unter Erhebung, 

Verarbeitung und Nutzung von Daten zu

verstehen ist. Die Vorschrift ist vor dem Hintergrund 

von § 3 Abs. 2 BDSG überflüssig. 

d. Beteiligungsrecht der Interessenvertretung 

Die Rechte des Betriebsrates bleiben nach § 32 

Abs. 3 BDSG unberührt. Dies bestätigt eine 

Selbstverständlichkeit. Mit der Einfügung des § 

32 BDSG ist keine Ausweitung des Mitbestimmungsrechts 

des Betriebsrats, insbesondere 

nicht des Mitbestimmungsrechts nach § 87 Abs. 

1 Nr. 6 BetrVG verbunden. 

2. Bewertung 

Die BDA hat auf die nun vorgenommene Klarstellung 

in der Gesetzesbegründung gedrängt, dass 

mit der Aufnahme des § 32 BDSG die bisherige 

Rechtslage nicht geändert wird. Eine solche Veränderung 

war auch vor dem Hintergrund des Kabinettsbeschlusses 

vom 18. Februar 2009 nicht 

beabsichtigt. 

Es handelt sich lediglich um eine Zusammenfassung 

der bestehenden Rechtslage und Rechtsprechung 

und ebenfalls ausweislich der Gesetzesbegründung 

soll kein Präjudiz für mögliche 

weitere gesetzliche Modifizierungen geschaffen 

werden. 

Trotzdem ist die Zusammenfassung bestehender 

Grundsätze in der konkreten Form kritisch zu 

würdigen. Die Erfahrung mit der Rechtsprechung 

zu gesetzlichen Regelungen im Zusammenhang 

mit der Datenerfassung in den letzten Jahren gebietet 

besondere Wachsamkeit. Trotz der ausdrücklichen 

Betonung, dass es sich lediglich um 

eine Klarstellung handelt, bleiben Risiken, die 

sich aus jeder intransparenten Neuregelung ergeben. 

So hat beispielsweise das BAG sogar vor dem 

klaren Wortlaut des § 87 Abs. 1 Nr. 6 BetrVG, in 

dem es heißt "Der Betriebsrat hat (...) in folgenden 

Angelegenheiten mitzubestimmen: 6. Einführung 

und Anwendung von technischen Einrichtungen, 

die dazu bestimmt sind, das Verhalten 

oder die Leistungen des Arbeitnehmers zu überwachen; 

(...) " in sehr weitgehender "Rechtsfortbildung" 

diese Formulierung „dazu bestimmt" uminterpretiert 

in die Formulierung, „die dazu geeignet 

sind". 

Eine entsprechende Interpretation halten wir auf 

Grund der Gesetzesbegründung hinsichtlich des 

§ 32 BDSG nicht für zulässig. Klar muss sein: 

Überall dort, wo der Zweck der Datennutzung ein 

anderer ist, als die Begründung, Durchführung 

oder Beendigung des Beschäftigungsverhältnisses, 

greift wie bisher unter anderem § 28 BDSG. 

Steht die Verhinderung von Rechtsverstößen im 

Vordergrund, gilt nicht der strenge Maßstab des § 

32 S. 2 BDSG, sondern die Zulässigkeit richtet 

sich nach den §§ 32 S. 1, 28 Abs. 1 BDSG oder 

weiteren Spezialvorschriften. Dies sollte im Falle 

weiterer Modifikationen des Datenschutzrechts 

ausdrücklich klargestellt werden. 

Kritisch zu würdigen ist außerdem die sehr enge 

Regelung zur Datennutzung zur Aufdeckung von 

Straftaten. Hier muss zukünftig klargestellt werden, 

dass beispielsweise auch verdachtsunabhängige 

Kontrollen im Zusammenhang mit möglichen 

Ordnungswidrigkeiten und Vertragsverletzungen 

durchgeführt werden dürfen. Das Risiko 

einer unzulässigen Datenverarbeitung trägt der 

Arbeitgeber, er hat daher ein berechtigtes Interesse 

daran, dieses Risiko zu minimieren bzw. 

auszuschließen. 

II. Änderungen der Regelung zur Auftragsdatenverarbeitung 

Mit den aktuellen Änderungen des Bundesdatenschutzgesetzes 

wurde neben der Einfügung des 

§ 32 BDSG und der überflüssigen Regelung eines 

Sonderkündigungsschutzes des betrieblichen 

Datenschutzbeauftragten auch die Regelung des 

§ 11 BDSG zur Auftragsdatenverarbeitung verkompliziert. 

Gemäß des bisherigen § 11 BDSG war der Auftraggeber 

bereits für die Einhaltung der Vorschriften 

des BDSG und anderer Vorschriften über den 

Datenschutz verantwortlich, wenn personenbezogene 

Daten in seinem Auftrag durch andere 

Stellen erhoben, verarbeitet oder genutzt wurden. 

Durch die Neuregelung im BDSG werden den 

Unternehmen nun detaillierte Vorgaben gemacht, 

welche Bereiche im Vertrag mit dem Auftragnehmer 

zu regeln sind. Gleichzeitig werden den 

Unternehmern umfangreiche - bürokratische - 

Kontrollpflichten auferlegt. 

Es sollte zukünftig klargestellt werden, dass für 

den Fall der sorgfältigen Auswahl des Auftrag- 

149

150 

nehmers durch den Arbeitgeber eine Exkulpationsmöglichkeit 

des Arbeitgebers bei Pflichtverletzungen 

durch den Auftragnehmer besteht. Außerdem 

sollte die Möglichkeit geschaffen werden, 

auch vertraglich eine Übernahme der Gewährleistung/Haftung 

durch den Auftragnehmer zu regeln. 

Insbesondere die Entgeltabrechnung oder 

Pensionsabwicklung durch Dritte muss durch eine 

Vereinfachung des § 11 BDSG erleichtert 

werden. 

III. Für einen überschaubaren Datenschutz 

Die Entscheidung der Regierungskoalition mögliche 

weitere Modifikationen des Datenschutzrechts 

im Zusammenhang mit dem Arbeitsverhältnis 

in das geltende Bundesdatenschutzgesetz 

zu integrieren, ist richtig. Ein separates Arbeitnehmerdatenschutzgesetz 

ist nicht erforderlich. 

Solche Änderungen müssen sich auf datenschutzrechtliche 

Fragestellungen beschränken. 

Es gibt z.B. Anpassungsbedarf betreffend einiger 

Regelungen zur Verwendung von Daten im Konzern 

oder zur Nutzung moderner Kommunikationstechnologien 

auf arbeitgeberseitig gestelltem 

Arbeitsmaterial durch Arbeitnehmer. 

Inhaltliche Verbesserungen hinsichtlich Rechtsklarheit 

und -sicherheit sind hinsichtlich folgender 

Themenbereiche denkbar: 

� Die effektive Kriminalitätsbekämpfung und 

die Bekämpfung von Korruption sind von 

herausragender Bedeutung für die Unternehmen. 

Im Zuge einer Novellierung des 

Bundesdatenschutzgesetzes muss daher 

klargestellt werden, dass zum Beispiel gegenüber 

einer konkreten Gruppe von Arbeitnehmern, 

unter denen es Verdachtsfälle gibt, 

ein so genanntes Screening, also ein Abgleich 

vorhandener Daten, möglich ist. 

� Die Vertraulichkeit von Unternehmensdaten 

muss gewährleistet werden. Diese müssen 

wirkungsvoll vor dem Zugriff Unbefugter geschützt 

werden. 

� Vertragsverletzungen und strafrechtlich relevantes 

Verhalten im Zusammenhang mit der 

Nutzung von Informations- und Kommunikationstechnologien 

am Arbeitsplatz müssen 

ausgeschlossen und ein effizientes Risikomanagement 

betrieben werden können. Da- 

zu gehört, wie das Beispiel Finnland zeigt, 

auch die Möglichkeit, E-Mails zu überprüfen. 

� Das Mitbestimmungsrecht des Betriebsrates 

kann diesen in eine kritische Lage bringen, 

wenn er bei der Überwachung durch moderne 

Informations- und Kommunikationseinrichtungen 

einbezogen werden muss. Es ist 

daher zu überlegen, die Zustimmungsnotwendigkeit 

partiell durch eine nachträgliche 

Informationspflicht zu ersetzen. 

� Der Datenaustausch im Konzern muss – 

auch über nationale Grenzen hinweg – erleichtert 

werden. Diese Forderung betrifft 

auch das europäische Recht. Bereits auf nationaler 

Ebene kann aber klargestellt werden, 

dass die Funktionsübertragung im Konzernverbund 

ebenso wie die Auftragsdatenverarbeitung 

möglich ist, ohne die Einzeleinwilligung 

der betroffenen Arbeitnehmer einholen 

zu müssen. Insbesondere sollte klargestellt 

werden, dass Konzernunternehmen 

nicht als „Dritte“ im Sinne des Datenschutzrechts 

gelten. 

� Auch die Frage der Geltung des Fernmeldegeheimnisses 

bei der Nutzung betrieblicher 

Kommunikationsmittel durch die Arbeitnehmer 

ist gesetzgeberisch wenig überzeugend 

gelöst. Die Auffassung, dass der Arbeitgeber 

Anbieter im Sinne des Telekommunikationsrechts 

ist, sollte aufgegeben werden. Notwendig 

sind Regelungen, die einen an die 

Besonderheiten des Arbeitsverhältnisses 

angepassten Ausgleich zwischen dem Persönlichkeitsrecht 

des Arbeitnehmers und 

dem berechtigten Kontrollinteresse des Arbeitgebers 

ermöglichen. Die derzeitige 

Rechtslage führt dazu, dass sich Arbeitgeber 

bei der Kontrolle - selbst bei offensichtlichen 

Missbrauchsfällen - in einer rechtlichen 

Grauzone befinden. 

� Es muss sichergestellt werden, dass Betriebsvereinbarungen 

als Rechtsvorschriften 

– entsprechend der bestehenden Rechtslage 

– anerkannt sind, so dass eine Datenerhebung 

und –verarbeitung auch auf die Regelung 

in einer Betriebsvereinbarung gestützt 

werden kann.

� Für die Erhebung und Verarbeitung von Gesundheitsdaten 

darf es keinen gesetzlichen 

Wertungswiderspruch geben. Dies gilt insbesondere 

für gesetzlich vorgeschriebene Untersuchungen, 

bei der Durchführung eines 

betrieblichen Eingliederungsmanagements 

oder auch bei Untersuchungen, die aufgrund 

der Fürsorgepflicht notwendig werden. In 

diesen Fällen muss der Betriebsarzt entsprechend 

den Regeln der ärztlichen Diagnostik 

die erforderlichen Untersuchungen 

veranlassen können. 

IV. Datenschutz, Korruptionsbekämpfung und 

Compliance 

Der verantwortungsvolle Umgang mit persönlichen 

Daten im Rahmen des Arbeitsverhältnisses 

ist für die Arbeitgeber eine Selbstverständlichkeit. 

Gleichzeitig tragen die Unternehmen die Verantwortung 

für eine zuverlässige Anwendung der 

Gesetze (Compliance). So sind sie beispielsweise 

zu einer effizienten Korruptionsbekämpfung 

verpflichtet. 

Um sicherzustellen, dass die Gesetze und internen 

Regelungen des Unternehmens eingehalten 

werden, ist Kontrolle notwendig. – auch die des 

einzelnen Arbeitnehmers. Die Möglichkeit des 

Einsatzes moderner Informations- und Kommunikationstechnik 

in diesem Bereich darf nicht zu 

Lasten einer wirksamen Compliance eingeschränkt 

werden. 

151

152 

Stellungnahme des Deutschen Richterbundes zum Referentenentwurf des Bundesministeriums für 

Arbeit und Soziales für ein Gesetz zur Ermittlung von Regelbedarfen und zur Änderung des Zweiten 

und Zwölften Buches Sozialgesetzbuch 

40/10 

Oktober 2010 

Der Deutsche Richterbund (DRB) nimmt zum Referentenentwurf des Bundesministeriums für Arbeit und Soziales für ein Gesetz zur Ermittlung 

von Regelbedarfen und zur Änderung des Zweiten und Zwölften Buches Sozialgesetzbuch vom 20.09.2010 wie folgt Stellung: 

1. Die folgende Stellungnahme beschränkt sich auf diejenigen Aspekte der vorliegenden Regelungsentwürfe, die Auswirkungen auf das 

sozialgerichtliche Verfahren ha-ben können. Eine sozialpolitische Bewertung gehört hingegen nicht zu den Aufgaben des DRB als Berufsverband 

der Richterinnen, Richter, Staatsanwältinnen und Staatsanwälte. Auch eine verfassungsrechtliche Bewertung des vorliegenden Gesetzentwurfs 

erfolgt mit der folgenden Stellungnahme nicht. 

2. Der Arbeitsanfall in der Sozialgerichtsbarkeit war in früheren Jahren stets konjunkturell bedingten Schwankungen unterworfen. Seit nunmehr 

rund 15 Jahren - und damit bereits lange vor Einführung von SGB II und SGB XII - ist vor den Sozialgerichten allerdings ein stetiger Anstieg der 

Streitverfahren zu verzeichnen. Diese Entwicklung hat sich seit 2005 dramatisch verschärft. In vielen Bundesländern kommen inzwischen die 

Hälfte, teilweise sogar über die Hälfte der Verfahren allein aus dem Bereich der Grundsicherung für Arbeitsuchende (SGB II) und der Sozialhilfe 

(SGB XII). Dies hat selbst die sehr leistungsstarke Sozialgerichtsbarkeit an ihre Belastungsgrenzen geführt. Obwohl es sich bei der 

Sozialgerichtsbarkeit um einen überaus effektiv und engagiert arbeitenden Gerichtszweig handelt, mussten die Richterzahlen z. T. deutlich 

aufgestockt werden. Trotzdem kann man von einer echten Entspannung der Situation noch nicht sprechen. Neben einer nachhaltigen Personalpolitik 

müssen daher vor allem auch alle Möglichkeiten ausgeschöpft werden, die gesetzlichen Regelungen im Hinblick auf die praktische Handhabung zu 

reformieren. Zu Recht setzt daher der vorliegende Gesetzentwurf (GE) auch hier an. Folgende Punkte sollten indes im weiteren 

Gesetzgebungsverfahren berücksichtigt werden: 

3. Die in § 19 SGB II-E angelegte und in der Begründung zu § 22 SGB II (S. 83) unterstrichene Vereinheitlichung zu einem einheitlichen 

Arbeitslosengeld II, dessen "integraler Bestandteil" auch die Kosten der Unterkunft und Heizung "als nicht mehr abtrennbarer Teil" sein sollen, 

weitet den gerichtlichen Überprüfungsrahmen unsach-gemäß aus und belastet die Gerichte mit einem unnötigen Überprüfungsaufwand, ohne dass 

den Verfahrensbeteiligten daraus ein Mehrwert entstehen würde. Nach bisherigen Rechtsprechung des Bundessozialgerichts (z. B. BSG, Urteil vom 

07.11.2006 - B 7b AS 8/06 R -, SozR 4-4200 § 22 Nr. 1) handelt es sich bei den Kos-ten der Unterkunft und Heizung (KdU) um einen von den 

übrigen Leistungen zur Sicherung des Lebensunterhalts (z. B. Regelleistung, Mehrbedarfe und Zuschlag nach § 24 SGB II) abtrennbaren 

Streitgegenstand, auf den die Beteiligten den Rechtsstreit begrenzen können. Dies entspricht insbesondere dem Interesse der Leistungsempfänger, 

die Einwendungen nur gegen die Höhe der KdU (oder etwa nur gegen die Höhe der Regelleistung) erheben wollen. Sollten die KdU aber integraler 

- nicht mehr abtrennbarer - Teil eines einheitlichen Arbeitslosengelds II werden, könnte hieran nicht mehr festgehalten werden. Nach dem für die 

Sozialgerichtsbarkeit geltenden Amtsermittlungsgrundsatz müssten künftig - unter Berücksichtigung der Rechtsprechung des BSG - auch dann 

Feststellungen zur Höhe einzelner Anspruchselemente dieser dann einheitlichen Leistung getroffen werden, wenn die Beteiligten hierüber gar nicht 

streiten. Z. B. müssten die Voraussetzungen eines Mehrbedarfs oder der Anrechnung von Einkommen (ggf. unter Heranziehung der Beteiligten zu 

bestimmten Mitteilungen) auch dann aufgeklärt werden, wenn sich der Leistungsempfänger ausschließlich gegen die Höhe der KdU wenden 

möchte. Hält ein Kläger etwa nur die Regelleistung für verfassungswidrig und möchte dagegen vorgehen, erscheint es nicht sachgerecht, auch noch 

die Höhe der KdU mit zu überprüfen, gegen die er sich gar nicht wenden möchte. Dies hätte eine unangemessene Ausweitung des Streitgegenstands 

gerichtlicher Verfahren zur Folge, die diese Verfahren - insbesondere auch zulasten der rechtsuchenden Bürger - weiter belasten und vor allem 

verzögern würde. 

Wir regen daher dringend an, im Gesetz klarzustellen, dass die einzelnen, abgrenzbaren Anspruchselemente, nämlich die Kosten der Unterkunft und 

Heizung, die Regeleistung und die Mehrbedarfe als eigenständige Streitgegenstände isoliert gerichtlich überprüft werden können. Andernfalls 

würden die geplanten Regelungen zu einer zusätzlichen starken Belastung der gerichtlichen Verfahren führen, ohne dass den Verfahrensbeteiligen 

hieraus ein Mehrwert erwachsen würde. 

4. Der DRB begrüßt die Intention des Gesetzgebers, die Regelungen über Sanktionen nach § 31 SGB II zu vereinfachen und damit für die 

behördliche und gerichtliche Praxis handhabbarer zu machen. Unklar ist allerdings welche Voraussetzungen an die positive Kenntnis als Alternative 

zur schriftlichen Belehrung über die Rechtsfolgen nach § 31 Abs. 1 Satz 1 SGB II-E gestellt werden sollen. Denn eine unrichtige Belehrung über 

die Rechtsfolgen dürfte positive Kenntnis über die Rechtsfolgen ausschließen, wenn man nicht vom Leistungsempfänger erwarten wollte, klüger als 

die Rechtsfolgenbelehrung zu sein. Es liegt daher näher, auf die Systematik des § 48 Abs. 1 Satz 2 Nr. 4 SGB X zurückzugreifen: Eine 

Rechtsfolgenbelehrung würde es dann - wie in anderen sozialrechtlichen Bereichen - weiterhin geben, um die grobe Fahrlässigkeit herbeizuführen; 

daneben könnte man so aber auch den Kenntnissen im Einzelfall gerecht werden. 

5. § 37 SGB II-E sollte dahingehend erweitert werden, dass auch Leistungen nach § 21 SGB II (Mehrbedarfe) eines gesonderten Antrags bedürfen. 

Nach der Rechtsprechung des BSG umfasst ein Antrag auf Leistungen nach dem SGB II bislang sämtliche Bedarfe, die innerhalb eines

Bewilligungszeitraums auftreten - auch nach Erlass des Bewilligungsbescheids -, unabhängig davon, ob der Leistungsträger Kenntnis davon hat. 

Insbesondere im Hinblick auf die Bestimmung des § 21 Abs. 6 SGB II (im Einzelfall unabweisbarer, laufender Bedarf) sollte aber ein 

Antragserfordernis bestehen. Ansonsten müssten der Leistungsträger und das Sozialgericht in jedem Fall, in dem die Höhe der Leistung streitig ist, 

von Amts wegen Feststellungen dazu treffen, ob ein Mehrbedarf vorliegt. 

6. Der Verkürzung der Frist nach § 44 Abs. 4 SGB X für Leistungen nach dem SGB II (§ 40 Abs. 1 SGB II-E) und dem SGB XII (§ 116 a SGB XII 

-E) auf ein Jahr stehen aus Sicht des DRB keine grundlegenden Bedenken entgegen, da die betreffenden Leistungen der aktuellen Bedarfsdeckung 

dienen. Im Hinblick auf übliche Ansparzeiten für größere Anschaffungen aus der Regelleistung könnte indes auch an eine Verkürzung der Frist auf 

zwei Jahren gedacht werden. Die in der Begründung angeführten Argumente für die Verkürzung der Präklusionsfrist gelten allerdings auch für 

Leistungen nach dem Asylbewerberleistungsgesetz. Auch für diesen Bereich sollte daher das gleiche Verfahrensrecht gelten. 

7. Nach § 11 Abs. 1 Satz 2, Abs. 2 und § 11 b Abs. 2 SGB II-E sollen für die Berück-sichtigung von Darlehen als Einkommen neue 

Sonderregelungen gelten. Entsprechende Änderungen des SGB XII sind im GE nicht enthalten, ohne dass hierfür ein sachlicher Grund ersichtlich 

wäre. Auch hier sollten im SGB II und im SGB XII gleiche Regelungen gelten. 

Unklar ist im Übrigen, welchen Zweck die generelle Absetzbarkeit von Tilgungsbei-trägen und Zinsen vom (als Einkommen angerechneten) 

Darlehen nach § 11 b Abs. 2 SGB II-E verfolgt: Es ist zu befürchten, dass hierdurch die Regelungen über die Berücksichtigung der Darlehen als 

Einkommen - insbesondere bei kurzfristigen Darlehen - leerlaufen; hierdurch würde ein unnötiger Bürokratie- und Verfahrensaufwand ohne 

erkennbaren Nutzen verursacht. 

8. Zur Einführung einer Satzungsermächtigung zur Regelung der angemessenen Kos-ten der Unterkunft und Heizung: 

Mit den §§ 22 a ff. SGB II-E soll den Ländern die Möglichkeit eingeräumt werden, die Kommunen zu ermächtigen, durch Satzung zu bestimmen, 

welche Aufwendungen für Unterkunft und Heizung in ihrem Gebiet angemessen sind. Nach der Begründung des GE soll den Ländern und 

Kommunen hierdurch die Möglichkeit eröffnet werden, den Basisbedarf für Unterkunft und Heizung transparent und rechtssicher auszugestalten. 

Diese Intention des Gesetzgebers begrüßt der DRB. Die gerichtliche Praxis ist mit einer Vielzahl von Verfahren befasst, in denen um die Höhe der 

im Einzelfall angemessenen Kosten der Unterkunft und Heizung gestritten wird. Das Bundessozial-gericht (BSG) hat inzwischen in mehreren 

Entscheidungen detaillierte Kriterien entwickelt, die ein von den kommunalen Trägern nach § 6 Abs. 1 Satz 1 Nr. 2 SGB II zur Konkretisierung des 

Begriffs der "Angemessenheit" nach § 22 Abs. 1 Satz 1 SGB II entwickeltes "schlüssiges Konzept" zu berücksichtigen hat. 

Die vorliegenden Regelungsentwürfe enthalten demgegenüber in § 22 c SGB II-E nur sehr allgemeine Anhaltspunkte, welche Kriterien die 

Kommunen beim Erlass der Satzungen zu berücksichtigen haben. Insbesondere ist unklar, inwieweit die vom BSG entwickelten Kriterien auch 

weiterhin maßgeblich sein sollen. Dies geht zu Las-ten der Rechtssicherheit; es ist daher mit vermehrten Gerichtsverfahren zu der Frage zu rechnen, 

welche Kriterien die Satzungsgeber zu beachten haben. 

Der DRB plädiert daher dafür, die Grundsätze, nach denen die Ermittlung der angemessenen Kosten der Unterkunft und Heizung vor Ort durch 

Satzung zu erfolgen hat, im Gesetz konkreter zu regeln. Zumindest sollte der Bundesgesetzgeber hierfür die Möglichkeit erhalten, entsprechende 

Regelungen durch Rechtsverordnung nach § 27 SGB II zu treffen. § 27 SGB II sollte daher nicht aufgehoben werden. 

In welchem Umfang von der Satzungsermächtigung Gebrauch gemacht werden wird, kann derzeit nicht abgesehen werden. Es sollten daher auch 

Regelungen zu den Grundsätzen der Ermittlung der Angemessenheitswerte für die Fälle getroffen wer-den, in denen entweder keine Satzung 

erlassen worden ist, oder diese im Rahmen des Normenkontrollverfahrens nach § 55 a SGG-E für ungültig erklärt worden ist. 

9. Zur Einführung eines Normenkontrollverfahrens nach § 55 a SGG-E: 

Ziel der Einführung eines Normenkontrollverfahrens zur Überprüfung der Gültigkeit der Satzungen nach § 22 a ff. SGB II ist es, für alle Beteiligten 

durch Konzentration der Rechtsstreite auf wenige zentrale Verfahren möglichst zeitnah Rechtssicherheit zu schaffen. Diese Intention des 

Gesetzgebers begrüßt der DRB. Derzeit ist die Frage, ob die Leistungen für Unterkunft und Heizung nach § 22 SGB II (KdU) vom jeweiligen 

Leistungsträger im Einzelfall in angemessener Höhe bewilligt worden sind, Gegenstand zahlreicher Gerichtsverfahren. Diese sind teilweise mit 

einem erheblichen Aufwand verbunden, da ggf. umfangreiches Zahlenmaterial ausgewertet werden muss. Von der künftig möglichen prinzipiellen 

Überprüfung von Satzungen der Kommunen zu den angemessenen Kosten der Unterkunft und Heizung ist daher eine Konzentration der 

gerichtlichen Überprüfung und damit Entlastung der Gerichtsverfahren zumindest in der ersten Instanz zu erwarten. Die vermehrt zu erwartenden 

Normenkontrollverfahren dürften allerdings zu einer Mehrbelastung der Landessozialgerichte führen, die nur durch eine entsprechende personelle 

Ausstattung bewältigt werden kann. 

Um das mit der Einführung der Satzungslösung mit Normenkontrollverfahren verfolge Ziel zu erreichen, sollten indes noch folgende Punkte 

berücksichtigt werden: 

a) Die Antragsbefugnis für natürliche Personen sollte auf den Kreis derjenigen Personen begrenzt werden, 

aa) deren tatsächliche Kosten der Unterkunft und Heizung wegen Überschreitens der durch die Satzung festgelegten Angemessenheitsgrenzen nicht 

voll übernommen werden und die gegen die entsprechenden Bewilligungsbescheide fristgerecht die möglichen Rechtsmittel ergriffen haben oder 

bb) die eine Kostensenkungsaufforderung erhalten haben. 

Denn nur dieser Personenkreis hat ein schutzwürdiges Interesse an der Überprü-fung der Satzung. Ein Rechtsschutzbedürfnis derjenigen 

Leistungsempfänger, die gegen die Bewilligung von abgesenkten KdU kein Rechtmittel ergriffen haben, ist nicht erkennbar. Auch für den von § 22 

Abs. 1 Satz 4 SGB II-E erfassten Perso-nenkreis (bei dem eine Absenkung der nach § 22 Abs. 1 Satz 1 SGB II unangemessenen Aufwendungen 

nicht gefordert werden muss, wenn diese unter Berücksichtigung der bei einem Wohnungswechsel zu erbringenden Leistungen unwirtschaftlich 

wäre) ist kein Rechtsschutzbedürfnis zu erkennen. Erst wenn der Leistungsträger intern in einem konkreten Leistungsfall den Entschluss gefasst hat, 

§ 22 Abs. 1 Satz 4 SGB II nicht zu Gunsten des Leistungsempfängers anzuwenden, kann eine konkrete Betroffenheit des Leistungsempfängers 

angenommen werden. 

Die Ausweitung der Antragsbefugnis auf Personen, die (noch) gar nicht im Leistungsbezug stehen oder von den Regelungen der Satzung gar nicht 

betroffen sind, würde zu einer unübersehbaren Ausweitung gerichtlicher Verfahren führen, ohne dass hierfür ein sachlicher Grund erkennbar wäre. 

b) Die in der Begründung zu Artikel 4 Nummer 4 (§ 55 a SGG) Absatz 2 genannte Ausschlussfrist für die antragsberechtigten Vereinigungen von 

153

154 

einem Jahr ist dem Gesetzestext nicht zu entnehmen. Im Übrigen sollte diese Frist im Interesse der Rechtssicherheit auf höchstens zwei Monate 

nach Bekanntmachung der Satzung verkürzt werden. Im Hinblick darauf, dass die Satzungen nach § 22 c Abs. 2 SGB II-E ohnehin nur eine 

Gültigkeitsdauer von einem Jahr (Kosten der Heizung) bzw. zwei Jahren (Kosten der Unterkunft) haben, liefe die Frist ansonsten leer. Den 

antragsberechtigten Vereinigungen sollte es möglich sein, in diesem zeitlichen Rahmen zu überprüfen, ob sie ein Normenkontrollverfahren nach § 

55 a SGG durchführen wollen. 

c) Ebenso sollte für natürliche Personen eine kürzere Frist gelten: Verwaltungsakte, mit denen den Leistungsempfängern die KdU bewilligt werden, 

können (nur) in-nerhalb eines Monats angefochten werden. Auch für Normenkontrollanträge, mit denen die den Verwaltungsakten zu Grunde 

liegenden Satzungen zur Überprüfung gestellt werden, sollten daher auf einen Monat nach Bekanntgabe des auf der Satzung beruhenden 

belastenden Verwaltungsakts oder Zugang der auf die Bestimmungen der Satzung beruhenden Kostensenkungsaufforderung befristet werden. Nach 

Bestandskraft eines vom Leistungsträgers erlassenen Verwaltungsakts betreffend die KdU ist kein Rechtsschutzinteresse des Leistungsempfängers 

an der Überprüfung der dem Verwaltungsakt zu Grunde liegenden Satzung mehr zu erkennen. 

d) § 55 a SGG-E ist stark an § 47 VwGO orientiert. Wir weisen darauf hin, dass die Normenkontrollverfahren nach § 55a SGG-E nicht in allen 

Punkten den Normen-kontrollverfahren nach § 47 VwGO entsprechen. § 47 VwGO betrifft im Wesentli-chen die Bauleitplanung. Dieser liegt ein 

"statischer Prozess" zu Grunde. Die Folge eines Normenkontrollverfahrens ist entweder endgültige Rechtssicherheit über die Geltung der Satzung 

für ein bestimmtes Gebiet oder die Verwerfung der Satzung mit der Folge der Nichtbeplanung des Gebiets. Satzungen nach § 22 a SGB II würden 

demgegenüber einen "dynamischen Prozess" gestalten: Die dort festgesetzten Werte wären fortlaufend zu überprüfen (§ 22 c Abs. 2 SGB II-E) und 

dann - wohl durch eine erneut anfechtbare Satzung - neu festzusetzen. Angesichts der bereits oben angesprochenen langen Anfechtungsfristen 

wüssten die Betroffenen - rechnet man die zu erwartende Verfahrensdauer hinzu - erst nach weit über einem Jahr, ob sie eine Wohnung zu 

angemessenen Unterkunfts- oder Heizkosten bewohnt haben. Durch die gerichtliche Entscheidung über den Normenkontrollantrag kann damit 

keine endgültige Rechtssicherheit geschaffen werden, da die Geltungsdauer der in der Satzung geregelten Werte nach § 22 Abs. 2 SGB II-E in der 

Zwischenzeit, d. h. bereits nach einem Jahr (Heizung) bzw. zwei Jahren (Unterkunft), wieder angepasst werden mussten. Dies würde ein erneutes 

Normenkontrollverfahren erfordern. Bei Anfechtungsfristen von einem Jahr käme es in der Praxis nie zu einer endgültigen Rechtssicherheit. Die so 

im Gesetz an-gelegte fortlaufende Ungewissheit über die Angemessenheit der konkreten KdU ist weder für die Leistungsempfänger, noch für die 

Kommunen hinnehmbar. 

e) Der GE sieht vor, dass das Gericht die Verhandlung bis zur Erledigung des Antragsverfahrens nach § 55 a aussetzen kann (§ 114 Abs. 2 a SGB II 

-E). Eine entsprechende Regelung sollte auch für Widerspruchsverfahren gegen die Bewilligung von abgesenkten KdU (die ausschließlich auf die 

Rechtswidrigkeit der Satzung gestützt werden) aufgenommen werden. Denn nach § 88 Abs. 2 SGG wäre der Leistungsträger ansonsten verpflichtet 

innerhalb von drei Monaten über einen Widerspruch zu entscheiden. Die Leistungsempfänger sind im Hinblick auf die Verkürzung der 

Präklusionsfrist nach § 44 Abs. 4 SGB X auf ein Jahr und der zu erwartenden Dauer der Verfahren nach § 55 a SGG jedenfalls gehalten, gegen die 

KdU absenkende Bescheide Widerspruch einzulegen. 

f) Im Hinblick auf die Komplexität der Normenkontrollverfahren sollte für diese ein Anwaltszwang eingeführt werden, wie er auch für Verfahren 

nach § 47 VwGO gilt, denen das Verfahren nach § 55 a SGG-E nachgebildet ist. Dies würde die mit dem GE verfolgte Zielsetzung nach einer 

prinzipiellen und grundsätzlichen Überprüfung der Satzungsregelungen in einem zentralen Normenkontrollverfahren unterstützen. Des Weitren 

sollte erwogen werden, abweichend von § 92 SGG einen Begründungszwang für das Antragsverfahren nach § 55 a SGG nebst Ausschlussfrist für 

den Eingang der Begründung einzuführen. Dies würde zur Be-schleunigung der Verfahren beitragen und den Beteiligten zügig Rechtssicherheit 

über die Gültigkeit der Satzungen gewähren. 

g) Die Ergänzung des § 31 SGG-E um die Worte "und für Antragsverfahren nach § 55 a SGG" lässt die Besetzung des Senats betreffend die 

ehrenamtlichen Richter offen. Mit der Verweisungsnorm des § 33 SGG (auf § 12 SGG) wird man hier nicht arbeiten können, da das 

Landessozialgericht für Verfahren nach § 55 a SGG-E Eingangsinstanz ist. Die Senate für die Normenkotrollverfahren nach § 55 a SGG sollten ggf. 

mit einem Vertreter der Kommunen und einem Vertreter der nach § 55 a Abs. 2 Satz 2 und Abs. 3 SGG antragsbefugten Verbände besetzt werden. 

Dies würde dem für das Vertragsarztrecht in § 12 Abs. 3 SGG niedergelegten Sachkundegedanken entsprechen. 

h) Unklar ist bislang, nach welchen materiell-rechtlichen Kriterien die Angemessenheit auf KdU beurteilt werden sollen, wenn die Satzung durch 

das Landessozialgericht für ungültig erklärt worden ist (oder gar keine Satzung erlassen wurde). Auf die in § 22 c SGB II niedergelegten Kriterien 

könnte in diesen Fällen wohl nicht zurückgegriffen werden, da diese nur für die Satzung selbst gelten. Hier fehlt - insbesondere auch im 

Unterschied zur Bauleitplanung - eine gesetzliche Regelung. Diese Lücke sollte geschlossen werden. 

10. Zum Auseinanderfallen der Regeln über die Festsetzung der Angemessenheitsgren-zen für Kosten der Unterkunft und Heizung von SGB II und 

SGB XII: 

Bislang galten für die KdU in SGB II und SGB XII einheitliche Kriterien (BSG, Urteil vom 23.03.2010 - B 8 SO 24/08 R). Hinsichtlich der KdU 

im SGB XII sieht der GE indes keine Satzungsermächtigung vor. Es besteht daher die Gefahr - auf unterschiedliche Grundsätze der Bemessung der 

jeweiligen Werte gestützter - widersprüchlicher Entscheidungen zu den in Satzungen festgelegten Angemessenheitswerten im SGB II und im SGB 

XII. Die KdU müssten dann für beide Bereiche nach unterschiedlichen Maßstäben festgesetzt werden. Insbesondere bei sog. gemischten 

Bedarfsgemeinschaften würde dies zu sachwidrigen Ergebnissen führen. Es sollte daher eine einheitliche Regelung zu den KdU in SGB II und SGB 

XII erfolgen. 

gez. Dr. Bernhard Joachim Scholz, Mitglied des Präsidiums

Nichtamtliches Inhaltsverzeichnis 

BDSG 

Ausfertigungsdatum: 20.12.1990 

Vollzitat: 

Bundesdatenschutzgesetz (BDSG) 

"Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt 

durch Artikel 1 des Gesetzes vom 14. August 2009 (BGBl. I S. 2814) geändert worden ist" 

Stand: Neugefasst durch Bek. v. 14.1.2003 I 66; 

Zuletzt geändert durch Art. 1 G v. 14.8.2009 I 2814 

Näheres zur Standangabe finden Sie im Menü unter Hinweise 

Fußnote 

Textnachweis ab: 1.6.1991 

Das G wurde als Art. 1 des G v. 20.12.1990 I 2954 vom Bundestag mit Zustimmung des Bundesrates beschlossen; § 10 Abs. 

4 Satz 3 und 4 ist am ersten Tage des vierundzwanzigsten auf die Verkündung folgenden Kalendermonats, im übrigen am 

ersten Tage des sechsten auf die Verkündung folgenden Kalendermonats gem. Art. 6 Abs. 2 Satz 1 u. 2 G v. 20.12.1990 I 

2954 in Kraft getreten. Das G wurde am 29.12.1990 verkündet. 


Inhaltsübersicht 

Erster Abschnitt 

Allgemeine und gemeinsame Bestimmungen 

§ 1 Zweck und Anwendungsbereich des Gesetzes 

§ 2 Öffentliche und nicht öffentliche Stellen 

§ 3 Weitere Begriffsbestimmungen 

§ 3a Datenvermeidung und Datensparsamkeit 

§ 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung 

§ 4a Einwilligung 

§ 4b Übermittlung personenbezogener Daten ins Ausland sowie an über- und zwischenstaatliche Stellen 

§ 4c Ausnahmen 

§ 4d Meldepflicht 

§ 4e Inhalt der Meldepflicht 

§ 4f Beauftragter für den Datenschutz 

§ 4g Aufgaben des Beauftragten für den Datenschutz 

§ 5 Datengeheimnis 

§ 6 Rechte des Betroffenen 

§ 6a Automatisierte Einzelentscheidung 

§ 6b Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen 

§ 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien 

§ 7 Schadensersatz 

§ 8 Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen 

§ 9 Technische und organisatorische Maßnahmen 

§ 9a Datenschutzaudit 

§ 10 Einrichtung automatisierter Abrufverfahren 

§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag 

Zweiter Abschnitt 

Datenverarbeitung der öffentlichen Stellen 

Erster Unterabschnitt 

Rechtsgrundlagen der Datenverarbeitung 

§ 12 Anwendungsbereich 

155

156 

§ 13 Datenerhebung 

§ 14 Datenspeicherung, -veränderung und -nutzung 

§ 15 Datenübermittlung an öffentliche Stellen 

§ 16 Datenübermittlung an nicht öffentliche Stellen 

§ 17 (weggefallen) 

§ 18 Durchführung des Datenschutzes in der Bundesverwaltung 

Zweiter Unterabschnitt 

Rechte des Betroffenen 

§ 19 Auskunft an den Betroffenen 

§ 19a Benachrichtigung 

§ 20 Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht 

§ 21 Anrufung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

Dritter Unterabschnitt 

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit 

§ 22 Wahl des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

§ 23 Rechtsstellung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

§ 24 Kontrolle durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

§ 25 Beanstandungen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

§ 26 Weitere Aufgaben des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

Dritter Abschnitt 

Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen 




§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke 

§ 28a Datenübermittlung an Auskunfteien 

§ 28b Scoring 

§ 29 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung 

§ 30 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter 

Form 

§ 30a Geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung 

§ 31 Besondere Zweckbindung 

§ 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses 



§ 33 Benachrichtigung des Betroffenen 


§ 35 Berichtigung, Löschung und Sperrung von Daten 


Aufsichtsbehörde 

§§ 36 und 37 (weggefallen) 

§ 38 Aufsichtsbehörde 

§ 38a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen 

Vierter Abschnitt 

Sondervorschriften 

§ 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis 

unterliegen 

§ 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen 

§ 41 Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien 

§ 42 Datenschutzbeauftragter der Deutschen Welle 

§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten 

Fünfter Abschnitt 

Schlussvorschriften 

§ 43 Bußgeldvorschriften 

§ 44 Strafvorschriften 

Sechster Abschnitt 

Übergangsvorschriften 

§ 45 Laufende Verwendungen 

§ 46 Weitergeltung von Begriffsbestimmungen 

§ 47 Übergangsregelung 

§ 48 Bericht der Bundesregierung 

Anlage (zu § 9 Satz 1)


(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen 

personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. 

(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch 

1. öffentliche Stellen des Bundes, 

2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie 

a) Bundesrecht ausführen oder 

b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt, 

3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, 

nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder 

dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für 

persönliche oder familiäre Tätigkeiten. 

(3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung 

anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher 

Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften 

beruhen, bleibt unberührt. 

(4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung 

des Sachverhalts personenbezogene Daten verarbeitet werden. 

(5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in 

einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle 

personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung 

im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der 

Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum 

belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Soweit die verantwortliche Stelle nach 

diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 

gelten nicht, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. § 38 Abs. 1 Satz 1 

bleibt unberührt. 


1. sie über den Bereich eines Landes hinaus tätig werden oder 

2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht. 

Andernfalls gelten sie als öffentliche Stellen der Länder. 

(4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere 

Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffentliche 

Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne 

dieses Gesetzes. 


1. 

Erster Abschnitt 

Allgemeine und gemeinsame Bestimmungen 

§ 1 Zweck und Anwendungsbereich des Gesetzes 

§ 2 Öffentliche und nicht-öffentliche Stellen 

(1) Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich 

organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des 

öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. Als öffentliche Stellen gelten die aus dem 

Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein 

ausschließliches Recht nach dem Postgesetz zusteht. 

(2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich 

organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des 

Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer 

Rechtsform. 

(3) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der 

öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen 

des Bundes, wenn 

§ 3 Weitere Begriffsbestimmungen 

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder 

bestimmbaren natürlichen Person (Betroffener). 

(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz 

von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung 

personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und 

ausgewertet werden kann. 

(3) Erheben ist das Beschaffen von Daten über den Betroffenen. 

(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im 

Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: 

157

158 

Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger 

zum Zwecke ihrer weiteren Verarbeitung oder Nutzung, 

2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten, 

3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener 

Daten an einen Dritten in der Weise, dass 

a) die Daten an den Dritten weitergegeben werden oder 

b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, 

4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder 

Nutzung einzuschränken, 

5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten. 

(5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. 

(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder 

sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und 

Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. 

(6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu 

dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. 

(7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet 

oder nutzt oder dies durch andere im Auftrag vornehmen lässt. 

(8) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der 

verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen 

Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen 

Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. 

(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische 

Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. 

(10) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger, 

1. die an den Betroffenen ausgegeben werden, 

2. auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere 

Stelle automatisiert verarbeitet werden können und 

3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann. 

(11) Beschäftigte sind: 

1. Arbeitnehmerinnen und Arbeitnehmer, 

2. zu ihrer Berufsbildung Beschäftigte, 

3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der 

beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden), 

4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte, 

5. nach dem Jugendfreiwilligendienstegesetz Beschäftigte, 

6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen 

sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten, 

7. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren 

Beschäftigungsverhältnis beendet ist, 

8. Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie 

Zivildienstleistende. 


§ 3a Datenvermeidung und Datensparsamkeit 

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von 

Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu 

erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu 

pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem 

angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. 


§ 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung 

(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder 

eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. 

(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben 

werden, wenn 

1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder 

2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei 

anderen Personen oder Stellen erforderlich macht oder 

b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde

und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen 

beeinträchtigt werden. 

(3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise 

Kenntnis erlangt hat, von der verantwortlichen Stelle über 

1. die Identität der verantwortlichen Stelle, 

2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und 

3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der 

Übermittlung an diese rechnen muss, 

zu unterrichten. Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur 

Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist 

der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umständen des 

Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von 

Angaben aufzuklären. 


§ 4a Einwilligung 

(1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den 

vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles 

erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf 

der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung 

zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. 

(2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch 

dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall 

sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des 

bestimmten Forschungszwecks ergibt, schriftlich festzuhalten. 

(3) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss 

sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. 


§ 4b Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen 

(1) Für die Übermittlung personenbezogener Daten an Stellen 

1. in anderen Mitgliedstaaten der Europäischen Union, 

2. in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder 

3. der Organe und Einrichtungen der Europäischen Gemeinschaften 

gelten § 15 Abs. 1, § 16 Abs. 1 und §§ 28 bis 30a nach Maßgabe der für diese Übermittlung geltenden Gesetze und 

Vereinbarungen, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den 

Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen. 

(2) Für die Übermittlung personenbezogener Daten an Stellen nach Absatz 1, die nicht im Rahmen von Tätigkeiten 

erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, sowie 

an sonstige ausländische oder über- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. Die Übermittlung 

unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere 

wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist. Satz 2 gilt 

nicht, wenn die Übermittlung zur Erfüllung eigener Aufgaben einer öffentlichen Stelle des Bundes aus zwingenden 

Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen auf dem Gebiet der 

Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. 

(3) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer 

Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art 

der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das 

Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden 

Standesregeln und Sicherheitsmaßnahmen herangezogen werden. 

(4) In den Fällen des § 16 Abs. 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner 

Daten. Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die 

Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile 

bereiten würde. 

(5) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. 

(6) Die Stelle, an die die Daten übermittelt werden, ist auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten 

übermittelt werden. 


§ 4c Ausnahmen 

(1) Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen 

Gemeinschaften fallen, ist eine Übermittlung personenbezogener Daten an andere als die in § 4b Abs. 1 genannten 

Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht gewährleistet ist, zulässig, sofern 

1. der Betroffene seine Einwilligung gegeben hat, 

2. 

159

160 

die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle 

oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen 

worden sind, erforderlich ist, 

3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des 

Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden 

soll, 

4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung 

oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist, 

5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder 

6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder 

der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur 

Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind. 

Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck 

verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden. 

(2) Unbeschadet des Absatzes 1 Satz 1 kann die zuständige Aufsichtsbehörde einzelne Übermittlungen oder 

bestimmte Arten von Übermittlungen personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen 

genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des 

Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; die Garantien können sich 

insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben. Bei den Post- und 

Telekommunikationsunternehmen ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit 

zuständig. Sofern die Übermittlung durch öffentliche Stellen erfolgen soll, nehmen diese die Prüfung nach Satz 1 vor. 

(3) Die Länder teilen dem Bund die nach Absatz 2 Satz 1 ergangenen Entscheidungen mit. 


§ 4d Meldepflicht 

(1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen 

Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den 

Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

nach Maßgabe von § 4e zu melden. 

(2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. 

(3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, 

verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder 

Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die 

Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen 

oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. 

(4) Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig 

personenbezogene Daten von der jeweiligen Stelle 

1. zum Zweck der Übermittlung, 

2. zum Zweck der anonymisierten Übermittlung oder 

3. für Zwecke der Markt- oder Meinungsforschung 

gespeichert werden. 

(5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, 

unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere 

durchzuführen, wenn 

1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder 

2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten 

einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, 

es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, 

Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder 

rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. 

(6) Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach 

Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den 

Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die 

Informationsfreiheit zu wenden. 


§ 4e Inhalt der Meldepflicht 

Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen: 

1. Name oder Firma der verantwortlichen Stelle, 

2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens 

berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen, 

3. Anschrift der verantwortlichen Stelle, 

4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, 

5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,

6. 

7. 

8. 

9. 

Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, 

Regelfristen für die Löschung der Daten, 

eine geplante Datenübermittlung in Drittstaaten, 

eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur 

Gewährleistung der Sicherheit der Verarbeitung angemessen sind. 

§ 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Aufnahme 

und der Beendigung der meldepflichtigen Tätigkeit entsprechend. 


§ 4f Beauftragter für den Datenschutz 

(1) Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen 

Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb 

eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere 

Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die 

Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der 

automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen 

Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nichtöffentliche 

Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder 

personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für 

Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit 

der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen. 

(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche 

Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem 

Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die 

die verantwortliche Stelle erhebt oder verwendet. Zum Beauftragten für den Datenschutz kann auch eine Person 

außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, 

die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der 

Abgabenordnung, unterliegen. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten 

aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen. 

(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu 

unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der 

Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann in 

entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht-öffentlichen Stellen auch auf 

Verlangen der Aufsichtsbehörde, widerrufen werden. Ist nach Absatz 1 ein Beauftragter für den Datenschutz zu 

bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die 

verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach 

der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung 

der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne 

Einhaltung einer Kündigungsfrist berechtigt ist. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen 

Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und 

Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. 

(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über 

Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen 

befreit wird. 

(4a) Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter oder 

einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein 

Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den Datenschutz und dessen 

Hilfspersonal zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus 

beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden 

kann. Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten 

und andere Schriftstücke einem Beschlagnahmeverbot. 

(5) Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner 

Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, 

Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit 

an den Beauftragten für den Datenschutz wenden. 


§ 4g Aufgaben des Beauftragten für den Datenschutz 

(1) Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den 

Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die 

Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. Er kann die Beratung nach § 38 Abs. 

1 Satz 2 in Anspruch nehmen. Er hat insbesondere 

1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene 

Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten 

Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten, 

2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den 

Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen 

besonderen Erfordernissen des Datenschutzes vertraut zu machen. 

161

162 

(2) Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 

genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftragte für den 

Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. 

(2a) Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz 

besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer 

Weise sicherzustellen. 

(3) Auf die in § 6 Abs. 2 Satz 4 genannten Behörden findet Absatz 2 Satz 2 keine Anwendung. Absatz 1 Satz 2 findet 

mit der Maßgabe Anwendung, dass der behördliche Beauftragte für den Datenschutz das Benehmen mit dem 

Behördenleiter herstellt; bei Unstimmigkeiten zwischen dem behördlichen Beauftragten für den Datenschutz und dem 

Behördenleiter entscheidet die oberste Bundesbehörde. 


§ 5 Datengeheimnis 

Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, 

zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen 

beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis 

besteht auch nach Beendigung ihrer Tätigkeit fort. 


§ 6 Rechte des Betroffenen 

(1) Die Rechte des Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung, Löschung oder Sperrung (§§ 20, 35) 

können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden. 

(2) Sind die Daten des Betroffenen automatisiert in der Weise gespeichert, dass mehrere Stellen 

speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage festzustellen, welche Stelle die Daten gespeichert 

hat, so kann er sich an jede dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an die Stelle, 

die die Daten gespeichert hat, weiterzuleiten. Der Betroffene ist über die Weiterleitung und jene Stelle zu unterrichten. 

Die in § 19 Abs. 3 genannten Stellen, die Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche Stellen der 

Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im 

Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, können statt des Betroffenen den 

Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unterrichten. In diesem Fall richtet sich das 

weitere Verfahren nach § 19 Abs. 6. 

(3) Personenbezogene Daten über die Ausübung eines Rechts des Betroffenen, das sich aus diesem Gesetz oder aus 

einer anderen Vorschrift über den Datenschutz ergibt, dürfen nur zur Erfüllung der sich aus der Ausübung des Rechts 

ergebenden Pflichten der verantwortlichen Stelle verwendet werden. 


§ 6a Automatisierte Einzelentscheidung 

(1) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, 

dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der 

Bewertung einzelner Persönlichkeitsmerkmale dienen. Eine ausschließlich auf eine automatisierte Verarbeitung 

gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte 

Entscheidung durch eine natürliche Person stattgefunden hat. 

(2) Dies gilt nicht, wenn 

1. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines 

sonstigen Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde oder 

2. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet ist und 

die verantwortliche Stelle dem Betroffenen die Tatsache des Vorliegens einer Entscheidung im Sinne des 

Absatzes 1 mitteilt sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitteilt und erläutert. 

(3) Das Recht des Betroffenen auf Auskunft nach den §§ 19 und 34 erstreckt sich auch auf den logischen Aufbau der 

automatisierten Verarbeitung der ihn betreffenden Daten. 


§ 6b Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen 

(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist 

nur zulässig, soweit sie 

1. zur Aufgabenerfüllung öffentlicher Stellen, 

2. zur Wahrnehmung des Hausrechts oder 

3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke 

erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. 

(2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu 

machen. 

(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des 

verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen 

überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von 

Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. 

(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine 

Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu benachrichtigen.

(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder 

schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. 


§ 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien 

(1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur 

automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, 

auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen 

1. über ihre Identität und Anschrift, 

2. in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu 

verarbeitenden personenbezogenen Daten, 

3. darüber, wie er seine Rechte nach den §§ 19, 20, 34 und 35 ausüben kann, und 

4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen 

unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat. 

(2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts 

erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung 

stehen. 

(3) Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für den Betroffenen 

eindeutig erkennbar sein. 


§ 7 Schadensersatz 

Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über 

den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten 

einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, 

soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. 


§ 8 Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen 

(1) Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen 

Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung 

seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen unabhängig von einem 

Verschulden zum Schadensersatz verpflichtet. 

(2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht 

Vermögensschaden ist, angemessen in Geld zu ersetzen. 

(3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt auf einen Betrag von 130.000 Euro begrenzt. Ist auf 

Grund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 

130.000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr 

Gesamtbetrag zu dem Höchstbetrag steht. 

(4) Sind bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in 

der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen. 

(5) Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen mitgewirkt, gilt § 254 des Bürgerlichen 

Gesetzbuchs. 

(6) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen 

Gesetzbuchs entsprechende Anwendung. 


§ 9 Technische und organisatorische Maßnahmen 

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder 

nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung 

der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu 

gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem 

angestrebten Schutzzweck steht. 


§ 9a Datenschutzaudit 

Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und 

-programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch 

unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. 

Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der 

Gutachter werden durch besonderes Gesetz geregelt. 


§ 10 Einrichtung automatisierter Abrufverfahren 

(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf 

ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen 

163

164 

und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist. Die Vorschriften über die Zulässigkeit 

des einzelnen Abrufs bleiben unberührt. 

(2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. 

Hierzu haben sie schriftlich festzulegen: 

1. Anlass und Zweck des Abrufverfahrens, 

2. Dritte, an die übermittelt wird, 

3. Art der zu übermittelnden Daten, 

4. nach § 9 erforderliche technische und organisatorische Maßnahmen. 

Im öffentlichen Bereich können die erforderlichen Festlegungen auch durch die Fachaufsichtsbehörden getroffen 

werden. 

(3) Über die Einrichtung von Abrufverfahren ist in Fällen, in denen die in § 12 Abs. 1 genannten Stellen beteiligt sind, 

der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit unter Mitteilung der Festlegungen nach Absatz 

2 zu unterrichten. Die Einrichtung von Abrufverfahren, bei denen die in § 6 Abs. 2 und in § 19 Abs. 3 genannten Stellen 

beteiligt sind, ist nur zulässig, wenn das für die speichernde und die abrufende Stelle jeweils zuständige Bundes- oder 

Landesministerium zugestimmt hat. 

(4) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. Die 

speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu 

gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren 

festgestellt und überprüft werden kann. Wird ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt 

(Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des 

Abrufes oder der Übermittlung des Gesamtbestandes. 

(5) Die Absätze 1 bis 4 gelten nicht für den Abruf allgemein zugänglicher Daten. Allgemein zugänglich sind Daten, die 

jedermann, sei es ohne oder nach vorheriger Anmeldung Zulassung oder Entrichtung eines Entgelts, nutzen kann. 


§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag 

(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der 

Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz 

verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. 

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und 

organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im 

Einzelnen festzulegen sind: 

1. der Gegenstand und die Dauer des Auftrags, 

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die 

Art der Daten und der Kreis der Betroffenen, 

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, 

4. die Berichtigung, Löschung und Sperrung von Daten, 

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden 

Kontrollen, 

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des 

Auftragnehmers, 

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum 

Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach 

Beendigung des Auftrags. 

Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor 

Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen 

technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. 

(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder 

nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über 

den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. 

(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie § 

44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 

1. a) öffentliche Stellen, 

b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die 

Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, 

2. 

die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder, 

die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als 

Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die §§ 4f, 4g und 38. 

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von 

Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf 

personenbezogene Daten nicht ausgeschlossen werden kann.


Zweiter Abschnitt 

Datenverarbeitung der öffentlichen Stellen 




(1) Die Vorschriften dieses Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie nicht als öffentlichrechtliche 

Unternehmen am Wettbewerb teilnehmen. 

(2) Soweit der Datenschutz nicht durch Landesgesetz geregelt ist, gelten die §§ 12 bis 16, 19 bis 20 auch für die 

öffentlichen Stellen der Länder, soweit sie 

1. Bundesrecht ausführen und nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen oder 

2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt. 

(3) Für Landesbeauftragte für den Datenschutz gilt § 23 Abs. 4 entsprechend. 

(4) Werden personenbezogene Daten für frühere, bestehende oder zukünftige Beschäftigungsverhältnisse erhoben, 

verarbeitet oder genutzt, gelten § 28 Absatz 2 Nummer 2 und die §§ 32 bis 35 anstelle der §§ 13 bis 16 und 19 bis 20. 


§ 13 Datenerhebung 

(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der 

verantwortlichen Stelle erforderlich ist. 

(1a) Werden personenbezogene Daten statt beim Betroffenen bei einer nicht-öffentlichen Stelle erhoben, so ist die 

Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. 

(2) Das Erheben besonderer Arten personenbezogener Daten (§ 3 Abs. 9) ist nur zulässig, soweit 

1. eine Rechtsvorschrift dies vorsieht oder aus Gründen eines wichtigen öffentlichen Interesses zwingend 

erfordert, 

2. der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, 

3. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der 

Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, 

4. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat, 

5. dies zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist, 

6. dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des 

Gemeinwohls zwingend erforderlich ist, 

7. dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder 

Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser 

Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden 

Geheimhaltungspflicht unterliegen, 

8. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der 

Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung 

erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem 

Aufwand erreicht werden kann oder 

9. dies aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher 

Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder 

Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. 


§ 14 Datenspeicherung, -veränderung und -nutzung 

(1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der 

Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für die die 

Daten erhoben worden sind. Ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder 

genutzt werden, für die sie gespeichert worden sind. 

(2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn 

1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, 

2. der Betroffene eingewilligt hat, 

3. offensichtlich ist, dass es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, dass er 

in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde, 

4. Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit 

bestehen, 

5. die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, 

dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Zweckänderung offensichtlich 

überwiegt, 

165

166 

6. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit oder 

zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist, 

7. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen 

oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder 

Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen 

erforderlich ist, 

8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder 

9. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der 

Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der 

Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit 

unverhältnismäßigem Aufwand erreicht werden kann. 

(3) Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und 

Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die 

verantwortliche Stelle dient. Das gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken 

durch die verantwortliche Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen. 

(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur 

Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für 

diese Zwecke verwendet werden. 

(5) Das Speichern, Verändern oder Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) für andere 

Zwecke ist nur zulässig, wenn 

1. die Voraussetzungen vorliegen, die eine Erhebung nach § 13 Abs. 2 Nr. 1 bis 6 oder 9 zulassen würden oder 

2. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das öffentliche Interesse an der 

Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der 

Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit 

unverhältnismäßigem Aufwand erreicht werden kann. 

Bei der Abwägung nach Satz 1 Nr. 2 ist im Rahmen des öffentlichen Interesses das wissenschaftliche Interesse an dem 

Forschungsvorhaben besonders zu berücksichtigen. 

(6) Die Speicherung, Veränderung oder Nutzung von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) zu den 

in § 13 Abs. 2 Nr. 7 genannten Zwecken richtet sich nach den für die in § 13 Abs. 2 Nr. 7 genannten Personen 

geltenden Geheimhaltungspflichten. 


§ 15 Datenübermittlung an öffentliche Stellen 

(1) Die Übermittlung personenbezogener Daten an öffentliche Stellen ist zulässig, wenn 

1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten 

übermittelt werden, liegenden Aufgaben erforderlich ist und 

2. die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden. 

(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf 

Ersuchen des Dritten, an den die Daten übermittelt werden, trägt dieser die Verantwortung. In diesem Fall prüft die 

übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Dritten, an den die Daten 

übermittelt werden, liegt, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht. § 

10 Abs. 4 bleibt unberührt. 

(3) Der Dritte, an den die Daten übermittelt werden, darf diese für den Zweck verarbeiten oder nutzen, zu dessen 

Erfüllung sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den 

Voraussetzungen des § 14 Abs. 2 zulässig. 

(4) Für die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgesellschaften gelten 

die Absätze 1 bis 3 entsprechend, sofern sichergestellt ist, dass bei diesen ausreichende Datenschutzmaßnahmen 

getroffen werden. 

(5) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene 

Daten des Betroffenen oder eines Dritten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem 

Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen des 

Betroffenen oder eines Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser Daten ist 

unzulässig. 

(6) Absatz 5 gilt entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben 

werden. 


§ 16 Datenübermittlung an nicht-öffentliche Stellen 

(1) Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn 

1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die 

Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden, oder 

2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu 

übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluss 

der Übermittlung hat. Das Übermitteln von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist 

abweichend von Satz 1 Nr. 2 nur zulässig, wenn die Voraussetzungen vorliegen, die eine Nutzung nach § 14 

Abs. 5 und 6 zulassen würden oder soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher 

Ansprüche erforderlich ist.

(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. 

(3) In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der 

Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis 

erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines 

Landes Nachteile bereiten würde. 

(4) Der Dritte, an den die Daten übermittelt werden, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen 

Erfüllung sie ihm übermittelt werden. Die übermittelnde Stelle hat ihn darauf hinzuweisen. Eine Verarbeitung oder 

Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde 

Stelle zugestimmt hat. 


(weggefallen) 


§ 17 

§ 18 Durchführung des Datenschutzes in der Bundesverwaltung 

(1) Die obersten Bundesbehörden, der Präsident des Bundeseisenbahnvermögens sowie die bundesunmittelbaren 

Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, über die von der Bundesregierung oder einer 

obersten Bundesbehörde lediglich die Rechtsaufsicht ausgeübt wird, haben für ihren Geschäftsbereich die Ausführung 

dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen. Das Gleiche gilt für die 

Vorstände der aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, 

solange diesen ein ausschließliches Recht nach dem Postgesetz zusteht. 

(2) Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen. Für ihre 

automatisierten Verarbeitungen haben sie die Angaben nach § 4e sowie die Rechtsgrundlage der Verarbeitung 

schriftlich festzulegen. Bei allgemeinen Verwaltungszwecken dienenden automatisierten Verarbeitungen, bei welchen 

das Auskunftsrecht des Betroffenen nicht nach § 19 Abs. 3 oder 4 eingeschränkt wird, kann hiervon abgesehen 

werden. Für automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, können die 

Festlegungen zusammengefasst werden. 





(1) Dem Betroffenen ist auf Antrag Auskunft zu erteilen über 

1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 

2. die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und 

3. den Zweck der Speicherung. 

In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet 

werden. Sind die personenbezogenen Daten weder automatisiert noch in nicht automatisierten Dateien gespeichert, 

wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen, und der 

für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten 

Informationsinteresse steht. Die verantwortliche Stelle bestimmt das Verfahren, insbesondere die Form der 

Auskunftserteilung, nach pflichtgemäßem Ermessen. 

(2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, 

satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich 

Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und eine Auskunftserteilung einen 

unverhältnismäßigen Aufwand erfordern würde. 

(3) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an 

Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die 

Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit 

Zustimmung dieser Stellen zulässig. 

(4) Die Auskunftserteilung unterbleibt, soweit 

1. die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden 

Aufgaben gefährden würde, 

2. die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines 

Landes Nachteile bereiten würde oder 

3. die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, 

insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden 

müssen 

und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muss. 

(5) Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die Mitteilung der tatsächlichen 

und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck 

gefährdet würde. In diesem Fall ist der Betroffene darauf hinzuweisen, dass er sich an den Bundesbeauftragten für den 

Datenschutz und die Informationsfreiheit wenden kann. 

(6) Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem Bundesbeauftragten für den 

Datenschutz und die Informationsfreiheit zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde im 

167

168 

Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. Die Mitteilung des 

Bundesbeauftragten an den Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der verantwortlichen Stelle 

zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt. 

(7) Die Auskunft ist unentgeltlich. 


§ 19a Benachrichtigung 

(1) Werden Daten ohne Kenntnis des Betroffenen erhoben, so ist er von der Speicherung, der Identität der 

verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung zu unterrichten. 

Der Betroffene ist auch über die Empfänger oder Kategorien von Empfängern von Daten zu unterrichten, soweit er nicht 

mit der Übermittlung an diese rechnen muss. Sofern eine Übermittlung vorgesehen ist, hat die Unterrichtung spätestens 

bei der ersten Übermittlung zu erfolgen. 

(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn 

1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 

2. die Unterrichtung des Betroffenen einen unverhältnismäßigen Aufwand erfordert oder 

3. die Speicherung oder Übermittlung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist. 

Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung nach 

Nummer 2 oder 3 abgesehen wird. 

(3) § 19 Abs. 2 bis 4 gilt entsprechend. 


§ 20 Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht 

(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Wird festgestellt, dass personenbezogene 

Daten, die weder automatisiert verarbeitet noch in nicht automatisierten Dateien gespeichert sind, unrichtig sind, oder 

wird ihre Richtigkeit von dem Betroffenen bestritten, so ist dies in geeigneter Weise festzuhalten. 

(2) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind 

zu löschen, wenn 

1. ihre Speicherung unzulässig ist oder 

2. ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht 

mehr erforderlich ist. 

(3) An die Stelle einer Löschung tritt eine Sperrung, soweit 

1. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, 

2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen 

beeinträchtigt würden, oder 

3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem 

Aufwand möglich ist. 

(4) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind 

ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die 

Unrichtigkeit feststellen lässt. 

(5) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht 

automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der 

verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen 

seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung 

oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung 

verpflichtet. 

(6) Personenbezogene Daten, die weder automatisiert verarbeitet noch in einer nicht automatisierten Datei gespeichert 

sind, sind zu sperren, wenn die Behörde im Einzelfall feststellt, dass ohne die Sperrung schutzwürdige Interessen des 

Betroffenen beeinträchtigt würden und die Daten für die Aufgabenerfüllung der Behörde nicht mehr erforderlich sind. 

(7) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn 

1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im 

überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und 

2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. 

(8) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen 

Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese 

Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und 

schutzwürdige Interessen des Betroffenen nicht entgegenstehen. 

(9) § 2 Abs. 1 bis 6, 8 und 9 des Bundesarchivgesetzes ist anzuwenden. 


§ 21 Anrufung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

Jedermann kann sich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden, wenn er 

der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche 

Stellen des Bundes in seinen Rechten verletzt worden zu sein. Für die Erhebung, Verarbeitung oder Nutzung von 

personenbezogenen Daten durch Gerichte des Bundes gilt dies nur, soweit diese in Verwaltungsangelegenheiten tätig 

werden.


Bundesbeauftragter für den Datenschutz und die Informationsfreiheit 


§ 22 Wahl des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

(1) Der Deutsche Bundestag wählt auf Vorschlag der Bundesregierung den Bundesbeauftragten für den Datenschutz 

und die Informationsfreiheit mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Der Bundesbeauftragte 

muss bei seiner Wahl das 35. Lebensjahr vollendet haben. Der Gewählte ist vom Bundespräsidenten zu ernennen. 

(2) Der Bundesbeauftragte leistet vor dem Bundesminister des Innern folgenden Eid: 

"Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, 

Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine 

Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe." 

Der Eid kann auch ohne religiöse Beteuerung geleistet werden. 

(3) Die Amtszeit des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig. 

(4) Der Bundesbeauftragte steht nach Maßgabe dieses Gesetzes zum Bund in einem öffentlich-rechtlichen 

Amtsverhältnis. Er ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er untersteht der 

Rechtsaufsicht der Bundesregierung. 

(5) Der Bundesbeauftragte wird beim Bundesministerium des Innern eingerichtet. Er untersteht der Dienstaufsicht des 

Bundesministeriums des Innern. Dem Bundesbeauftragten ist die für die Erfüllung seiner Aufgaben notwendige 

Personal- und Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des Bundesministers des Innern in einem 

eigenen Kapitel auszuweisen. Die Stellen sind im Einvernehmen mit dem Bundesbeauftragten zu besetzen. Die 

Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden sind, nur im Einvernehmen mit ihm 

versetzt, abgeordnet oder umgesetzt werden. 

(6) Ist der Bundesbeauftragte vorübergehend an der Ausübung seines Amtes verhindert, kann der Bundesminister des 

Innern einen Vertreter mit der Wahrnehmung der Geschäfte beauftragen. Der Bundesbeauftragte soll dazu gehört 

werden. 


§ 23 Rechtsstellung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

(1) Das Amtsverhältnis des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beginnt mit der 

Aushändigung der Ernennungsurkunde. Es endet 

1. mit Ablauf der Amtszeit, 

2. mit der Entlassung. 

Der Bundespräsident entläßt den Bundesbeauftragten, wenn dieser es verlangt oder auf Vorschlag der 

Bundesregierung, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit die Entlassung aus dem Dienst 

rechtfertigen. Im Falle der Beendigung des Amtsverhältnisses erhält der Bundesbeauftragte eine vom 

Bundespräsidenten vollzogene Urkunde. Eine Entlassung wird mit der Aushändigung der Urkunde wirksam. Auf 

Ersuchen des Bundesministers des Innern ist der Bundesbeauftragte verpflichtet, die Geschäfte bis zur Ernennung 

seines Nachfolgers weiterzuführen. 

(2) Der Bundesbeauftragte darf neben seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf 

ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten 

Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes 

angehören. Er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben. 

(3) Der Bundesbeauftragte hat dem Bundesministerium des Innern Mitteilung über Geschenke zu machen, die er in 

bezug auf sein Amt erhält. Das Bundesministerium des Innern entscheidet über die Verwendung der Geschenke. 

(4) Der Bundesbeauftragte ist berechtigt, über Personen, die ihm in seiner Eigenschaft als Bundesbeauftragter 

Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern. Dies gilt auch für die 

Mitarbeiter des Bundesbeauftragten mit der Maßgabe, daß über die Ausübung dieses Rechts der Bundesbeauftragte 

entscheidet. Soweit das Zeugnisverweigerungsrecht des Bundesbeauftragten reicht, darf die Vorlegung oder 

Auslieferung von Akten oder anderen Schriftstücken von ihm nicht gefordert werden. 

(5) Der Bundesbeauftragte ist, auch nach Beendigung seines Amtsverhältnisses, verpflichtet, über die ihm amtlich 

bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen 

Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Der 

Bundesbeauftragte darf, auch wenn er nicht mehr im Amt ist, über solche Angelegenheiten ohne Genehmigung des 

Bundesministeriums des Innern weder vor Gericht noch außergerichtlich aussagen oder Erklärungen abgeben. 

Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen und bei Gefährdung der freiheitlichen 

demokratischen Grundordnung für deren Erhaltung einzutreten. Für den Bundesbeauftragten und seine Mitarbeiter 

gelten die §§ 93, 97, 105 Abs. 1, § 111 Abs. 5 in Verbindung mit § 105 Abs. 1 sowie § 116 Abs. 1 der Abgabenordnung 

nicht. Satz 5 findet keine Anwendung, soweit die Finanzbehörden die Kenntnis für die Durchführung eines Verfahrens 

wegen einer Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen, an deren Verfolgung 

ein zwingendes öffentliches Interesse besteht, oder soweit es sich um vorsätzlich falsche Angaben des 

Auskunftspflichtigen oder der für ihn tätigen Personen handelt. Stellt der Bundesbeauftragte einen Datenschutzverstoß 

fest, ist er befugt, diesen anzuzeigen und den Betroffenen hierüber zu informieren. 

(6) Die Genehmigung, als Zeuge auszusagen, soll nur versagt werden, wenn die Aussage dem Wohle des Bundes 

oder eines deutschen Landes Nachteile bereiten oder die Erfüllung öffentlicher Aufgaben ernstlich gefährden oder 

erheblich erschweren würde. Die Genehmigung, ein Gutachten zu erstatten, kann versagt werden, wenn die Erstattung 

den dienstlichen Interessen Nachteile bereiten würde. § 28 des Bundesverfassungsgerichtsgesetzes bleibt unberührt. 

(7) Der Bundesbeauftragte erhält vom Beginn des Kalendermonats an, in dem das Amtsverhältnis beginnt, bis zum 

Schluß des Kalendermonats, in dem das Amtsverhältnis endet, im Falle des Absatzes 1 Satz 6 bis zum Ende des 

169

170 

Monats, in dem die Geschäftsführung endet, Amtsbezüge in Höhe der einem Bundesbeamten der Besoldungsgruppe B 

9 zustehenden Besoldung. Das Bundesreisekostengesetz und das Bundesumzugskostengesetz sind entsprechend 

anzuwenden. Im Übrigen sind § 12 Abs 6 sowie die §§ 13 bis 20 und 21a Abs. 5 des Bundesministergesetzes mit den 

Maßgaben anzuwenden, dass an die Stelle der vierjährigen Amtszeit in § 15 Abs. 1 des Bundesministergesetzes eine 

Amtszeit von fünf Jahren und an die Stelle der Besoldungsgruppe B 11 in § 21a Abs. 5 des Bundesministergesetzes 

die Besoldungsgruppe B 9 tritt. Abweichend von Satz 3 in Verbindung mit den §§ 15 bis 17 und 21a Abs. 5 des 

Bundesministergesetzes berechnet sich das Ruhegehalt des Bundesbeauftragten unter Hinzurechnung der Amtszeit 

als ruhegehaltsfähige Dienstzeit in entsprechender Anwendung des Beamtenversorgungsgesetzes, wenn dies 

günstiger ist und der Bundesbeauftragte sich unmittelbar vor seiner Wahl zum Bundesbeauftragten als Beamter oder 

Richter mindestens in dem letzten gewöhnlich vor Erreichen der Besoldungsgruppe B 9 zu durchlaufenden Amt 

befunden hat. 

(8) Absatz 5 Satz 5 bis 7 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der 

Vorschriften über den Datenschutz in den Ländern zuständig sind. 


§ 24 Kontrolle durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

(1) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kontrolliert bei den öffentlichen Stellen des 

Bundes die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz. 

(2) Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf 

1. von öffentlichen Stellen des Bundes erlangte personenbezogene Daten über den Inhalt und die näheren 

Umstände des Brief-, Post- und Fernmeldeverkehrs, und 

2. personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem 

Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. 

Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels 10 des Grundgesetzes wird insoweit 

eingeschränkt. Personenbezogene Daten, die der Kontrolle durch die Kommission nach § 15 des Artikel 10-Gesetzes 

unterliegen, unterliegen nicht der Kontrolle durch den Bundesbeauftragten, es sei denn, die Kommission ersucht den 

Bundesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in 

bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten. Der Kontrolle durch den 

Bundesbeauftragten unterliegen auch nicht personenbezogene Daten in Akten über die Sicherheitsüberprüfung, wenn 

der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber dem Bundesbeauftragten 

widerspricht. 

(3) Die Bundesgerichte unterliegen der Kontrolle des Bundesbeauftragten nur, soweit sie in 

Verwaltungsangelegenheiten tätig werden. 

(4) Die öffentlichen Stellen des Bundes sind verpflichtet, den Bundesbeauftragten und seine Beauftragten bei der 

Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist dabei insbesondere 

1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in 

die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 1 

stehen, 

2. jederzeit Zutritt in alle Diensträume zu gewähren. 

Die in § 6 Abs. 2 und § 19 Abs. 3 genannten Behörden gewähren die Unterstützung nur dem Bundesbeauftragten 

selbst und den von ihm schriftlich besonders Beauftragten. Satz 2 gilt für diese Behörden nicht, soweit die oberste 

Bundesbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes 

gefährden würde. 

(5) Der Bundesbeauftragte teilt das Ergebnis seiner Kontrolle der öffentlichen Stelle mit. Damit kann er Vorschläge zur 

Verbesserung des Datenschutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der Verarbeitung oder 

Nutzung personenbezogener Daten, verbinden. § 25 bleibt unberührt. 

(6) Absatz 2 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den 

Datenschutz in den Ländern zuständig sind. 


§ 25 Beanstandungen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

(1) Stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Verstöße gegen die Vorschriften 

dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung 

oder Nutzung personenbezogener Daten fest, so beanstandet er dies 

1. bei der Bundesverwaltung gegenüber der zuständigen obersten Bundesbehörde, 

2. beim Bundeseisenbahnvermögen gegenüber dem Präsidenten, 

3. bei den aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, 

solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht, gegenüber deren Vorständen, 

4. bei den bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei 

Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber dem Vorstand oder dem sonst 

vertretungsberechtigten Organ 

und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. In den Fällen von Satz 1 Nr. 4 

unterrichtet der Bundesbeauftragte gleichzeitig die zuständige Aufsichtsbehörde. 

(2) Der Bundesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle 

verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt.

(3) Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung des 

Bundesbeauftragten getroffen worden sind. Die in Absatz 1 Satz 1 Nr. 4 genannten Stellen leiten der zuständigen 

Aufsichtsbehörde gleichzeitig eine Abschrift ihrer Stellungnahme an den Bundesbeauftragten zu. 


§ 26 Weitere Aufgaben des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 

(1) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erstattet dem Deutschen Bundestag alle 

zwei Jahre einen Tätigkeitsbericht. Er unterrichtet den Deutschen Bundestag und die Öffentlichkeit über wesentliche 

Entwicklungen des Datenschutzes. 

(2) Auf Anforderung des Deutschen Bundestages oder der Bundesregierung hat der Bundesbeauftragte Gutachten zu 

erstellen und Berichte zu erstatten. Auf Ersuchen des Deutschen Bundestages, des Petitionsausschusses, des 

Innenausschusses oder der Bundesregierung geht der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten und 

Vorgänge des Datenschutzes bei den öffentlichen Stellen des Bundes nach. Der Bundesbeauftragte kann sich jederzeit 

an den Deutschen Bundestag wenden. 

(3) Der Bundesbeauftragte kann der Bundesregierung und den in § 12 Abs. 1 genannten Stellen des Bundes 

Empfehlungen zur Verbesserung des Datenschutzes geben und sie in Fragen des Datenschutzes beraten. Die in § 25 

Abs. 1 Nr. 1 bis 4 genannten Stellen sind durch den Bundesbeauftragten zu unterrichten, wenn die Empfehlung oder 

Beratung sie nicht unmittelbar betrifft. 

(4) Der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für die Kontrolle der 

Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind, sowie mit den Aufsichtsbehörden 

nach § 38 hin. § 38 Abs. 1 Satz 4 und 5 gilt entsprechend. 

Dritter Abschnitt 

Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher 

Wettbewerbsunternehmen 





(1) Die Vorschriften dieses Abschnittes finden Anwendung, soweit personenbezogene Daten unter Einsatz von 

Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden oder die Daten in oder aus nicht 

automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden durch 

1. nicht-öffentliche Stellen, 

2. a) öffentliche Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb 

teilnehmen, 

b) öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb 

teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist. 

Dies gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre 

Tätigkeiten erfolgt. In den Fällen der Nummer 2 Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24 bis 26. 

(2) Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und Nutzung personenbezogener Daten 

außerhalb von nicht automatisierten Dateien, soweit es sich nicht um personenbezogene Daten handelt, die 

offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind. 


§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke 

(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die 

Erfüllung eigener Geschäftszwecke ist zulässig 

1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder 

rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist, 

2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu 

der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der 

Verarbeitung oder Nutzung überwiegt, oder 

3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei 

denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung 

gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. 

Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, 

konkret festzulegen. 

(2) Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig 

1. unter den Voraussetzungen des Absatzes 1 Satz 1 Nummer 2 oder Nummer 3, 

2. soweit es erforderlich ist, 

a) zur Wahrung berechtigter Interessen eines Dritten oder 

b) 

171

172 

zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von 

Straftaten 

und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem 

Ausschluss der Übermittlung oder Nutzung hat, oder 

3. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich 

ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des 

Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf 

andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. 

(3) Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist 

zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die 

verantwortliche Stelle nach Absatz 3a verfährt. Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener 

Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer 

Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, 

Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr 

beschränken, und die Verarbeitung oder Nutzung erforderlich ist 

1. für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese Daten mit Ausnahme der 

Angaben zur Gruppenzugehörigkeit beim Betroffenen nach Absatz 1 Satz 1 Nummer 1 oder aus allgemein 

zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat, 

2. für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen 

Anschrift oder 

3. für Zwecke der Werbung für Spenden, die nach § 10b Absatz 1 und § 34g des Einkommensteuergesetzes 

steuerbegünstigt sind. 

Für Zwecke nach Satz 2 Nummer 1 darf die verantwortliche Stelle zu den dort genannten Daten weitere Daten 

hinzuspeichern. Zusammengefasste personenbezogene Daten nach Satz 2 dürfen auch dann für Zwecke der Werbung 

übermittelt werden, wenn die Übermittlung nach Maßgabe des § 34 Absatz 1a Satz 1 gespeichert wird; in diesem Fall 

muss die Stelle, die die Daten erstmalig erhoben hat, aus der Werbung eindeutig hervorgehen. Unabhängig vom 

Vorliegen der Voraussetzungen des Satzes 2 dürfen personenbezogene Daten für Zwecke der Werbung für fremde 

Angebote genutzt werden, wenn für den Betroffenen bei der Ansprache zum Zwecke der Werbung die für die Nutzung 

der Daten verantwortliche Stelle eindeutig erkennbar ist. Eine Verarbeitung oder Nutzung nach den Sätzen 2 bis 4 ist 

nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen. Nach den Sätzen 1, 2 und 4 

übermittelte Daten dürfen nur für den Zweck verarbeitet oder genutzt werden, für den sie übermittelt worden sind. 

(3a) Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche 

Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung 

elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der 

Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Soll 

die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher 

Gestaltung besonders hervorzuheben. 

(3b) Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach 

Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen 

Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Eine unter solchen Umständen 

erteilte Einwilligung ist unwirksam. 

(4) Widerspricht der Betroffene bei der verantwortlichen Stelle der Verarbeitung oder Nutzung seiner Daten für Zwecke 

der Werbung oder der Markt- oder Meinungsforschung, ist eine Verarbeitung oder Nutzung für diese Zwecke 

unzulässig. Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Markt- oder Meinungsforschung 

und in den Fällen des Absatzes 1 Satz 1 Nummer 1 auch bei Begründung des rechtsgeschäftlichen oder 

rechtsgeschäftsähnlichen Schuldverhältnisses über die verantwortliche Stelle sowie über das Widerspruchsrecht nach 

Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des Betroffenen nutzt, die bei einer ihm 

nicht bekannten Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene Kenntnis über die Herkunft 

der Daten erhalten kann. Widerspricht der Betroffene bei dem Dritten, dem die Daten im Rahmen der Zwecke nach 

Absatz 3 übermittelt worden sind, der Verarbeitung oder Nutzung für Zwecke der Werbung oder der Markt- oder 

Meinungsforschung, hat dieser die Daten für diese Zwecke zu sperren. In den Fällen des Absatzes 1 Satz 1 Nummer 1 

darf für den Widerspruch keine strengere Form verlangt werden als für die Begründung des rechtsgeschäftlichen oder 

rechtsgeschäftsähnlichen Schuldverhältnisses. 

(5) Der Dritte, dem die Daten übermittelt worden sind, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen 

Erfüllung sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nicht-öffentlichen Stellen 

nur unter den Voraussetzungen der Absätze 2 und 3 und öffentlichen Stellen nur unter den Voraussetzungen des § 14 

Abs. 2 erlaubt. Die übermittelnde Stelle hat ihn darauf hinzuweisen. 

(6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) für eigene 

Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn 

1. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der 

Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, 

2. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat, 

3. dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund 

zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der 

Erhebung, Verarbeitung oder Nutzung überwiegt, oder 

4. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der 

Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, 

Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur 

mit unverhältnismäßigem Aufwand erreicht werden kann.

(7) Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum 

Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für 

die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal 

oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. Die Verarbeitung 

und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten 

Personen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck Daten über die 

Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuches 

genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung 

oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den 

Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre. 

(8) Für einen anderen Zweck dürfen die besonderen Arten personenbezogener Daten (§ 3 Abs. 9) nur unter den 

Voraussetzungen des Absatzes 6 Nr. 1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt werden. Eine 

Übermittlung oder Nutzung ist auch zulässig, wenn dies zur Abwehr von erheblichen Gefahren für die staatliche und 

öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist. 

(9) Organisationen, die politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtet sind und keinen 

Erwerbszweck verfolgen, dürfen besondere Arten personenbezogener Daten (§ 3 Abs. 9) erheben, verarbeiten oder 

nutzen, soweit dies für die Tätigkeit der Organisation erforderlich ist. Dies gilt nur für personenbezogene Daten ihrer 

Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr 

unterhalten. Die Übermittlung dieser personenbezogenen Daten an Personen oder Stellen außerhalb der Organisation 

ist nur unter den Voraussetzungen des § 4a Abs. 3 zulässig. Absatz 2 Nummer 2 Buchstabe b gilt entsprechend. 


§ 28a Datenübermittlung an Auskunfteien 

(1) Die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien ist nur zulässig, soweit die 

geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung berechtigter Interessen 

der verantwortlichen Stelle oder eines Dritten erforderlich ist und 

1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist 

oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt, 

2. die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin 

bestritten worden ist, 

3. der Betroffene die Forderung ausdrücklich anerkannt hat, 

4. a) der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt 

worden ist, 

b) zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen, 

c) die verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch 

frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und 

d) der Betroffene die Forderung nicht bestritten hat oder 

5. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt 

werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet 

hat. 

Satz 1 gilt entsprechend, wenn die verantwortliche Stelle selbst die Daten nach § 29 verwendet. 

(2) Zur zukünftigen Übermittlung nach § 29 Abs. 2 dürfen Kreditinstitute personenbezogene Daten über die 

Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses betreffend ein 

Bankgeschäft nach § 1 Abs. 1 Satz 2 Nr. 2, 8 oder Nr. 9 des Kreditwesengesetzes an Auskunfteien übermitteln, es sei 

denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem 

Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegt. Der Betroffene ist vor Abschluss des 

Vertrages hierüber zu unterrichten. Satz 1 gilt nicht für Giroverträge, die die Einrichtung eines Kontos ohne 

Überziehungsmöglichkeit zum Gegenstand haben. Zur zukünftigen Übermittlung nach § 29 Abs. 2 ist die Übermittlung 

von Daten über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der 

Herstellung von Markttransparenz dienen, an Auskunfteien auch mit Einwilligung des Betroffenen unzulässig. 

(3) Nachträgliche Änderungen der einer Übermittlung nach Absatz 1 oder Absatz 2 zugrunde liegenden Tatsachen hat 

die verantwortliche Stelle der Auskunftei innerhalb von einem Monat nach Kenntniserlangung mitzuteilen, solange die 

ursprünglich übermittelten Daten bei der Auskunftei gespeichert sind. Die Auskunftei hat die übermittelnde Stelle über 

die Löschung der ursprünglich übermittelten Daten zu unterrichten. 


§ 28b Scoring 

Zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit 

dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben 

oder verwendet werden, wenn 

1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines 

wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der 

Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind, 

2. im Fall der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine 

Übermittlung der genutzten Daten nach § 29 und in allen anderen Fällen die Voraussetzungen einer 

zulässigen Nutzung der Daten nach § 28 vorliegen, 

3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden, 

173

174 

4. im Fall der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über 

die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren. 


1. 

§ 29 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung 

(1) Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der 

Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist 

zulässig, wenn 

1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss 

der Erhebung, Speicherung oder Veränderung hat, 

2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie 

veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der 

Erhebung, Speicherung oder Veränderung offensichtlich überwiegt, oder 

3. die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 erfüllt sind; Daten im Sinne von § 28a Abs. 2 Satz 4 dürfen 

nicht erhoben oder gespeichert werden. 

§ 28 Absatz 1 Satz 2 und Absatz 3 bis 3b ist anzuwenden. 

(2) Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn 

1. der Dritte, dem die Daten übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt 

hat und 


der Übermittlung hat. 

§ 28 Absatz 3 bis 3b gilt entsprechend. Bei der Übermittlung nach Satz 1 Nr. 1 sind die Gründe für das Vorliegen eines 

berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung von der übermittelnden Stelle 

aufzuzeichnen. Bei der Übermittlung im automatisierten Abrufverfahren obliegt die Aufzeichnungspflicht dem Dritten, 

dem die Daten übermittelt werden. Die übermittelnde Stelle hat Stichprobenverfahren nach § 10 Abs. 4 Satz 3 

durchzuführen und dabei auch das Vorliegen eines berechtigten Interesses einzelfallbezogen festzustellen und zu 

überprüfen. 

(3) Die Aufnahme personenbezogener Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder 

vergleichbare Verzeichnisse hat zu unterbleiben, wenn der entgegenstehende Wille des Betroffenen aus dem zugrunde 

liegenden elektronischen oder gedruckten Verzeichnis oder Register ersichtlich ist. Der Empfänger der Daten hat 

sicherzustellen, dass Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen oder Registern bei der 

Übernahme in Verzeichnisse oder Register übernommen werden. 

(4) Für die Verarbeitung oder Nutzung der übermittelten Daten gilt § 28 Abs. 4 und 5. 


(6) Eine Stelle, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von 

Verbrauchern genutzt werden dürfen, zum Zweck der Übermittlung erhebt, speichert oder verändert, hat 

Auskunftsverlangen von Darlehensgebern aus anderen Mitgliedstaaten der Europäischen Union oder anderen 

Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum genauso zu behandeln wie 

Auskunftsverlangen inländischer Darlehensgeber. 

(7) Wer den Abschluss eines Verbraucherdarlehensvertrags oder eines Vertrags über eine entgeltliche 

Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im Sinne des Absatzes 6 ablehnt, hat den 

Verbraucher unverzüglich hierüber sowie über die erhaltene Auskunft zu unterrichten. Die Unterrichtung unterbleibt, 

soweit hierdurch die öffentliche Sicherheit oder Ordnung gefährdet würde. § 6a bleibt unberührt. 


§ 30 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form 

(1) Werden personenbezogene Daten geschäftsmäßig erhoben und gespeichert, um sie in anonymisierter Form zu 

übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche 

Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Diese Merkmale 

dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies für die Erfüllung des Zwecks der Speicherung 

oder zu wissenschaftlichen Zwecken erforderlich ist. 

(2) Die Veränderung personenbezogener Daten ist zulässig, wenn 


der Veränderung hat, oder 


veröffentlichen dürfte, soweit nicht das schutzwürdige Interesse des Betroffenen an dem Ausschluss der 

Veränderung offensichtlich überwiegt. 

(3) Die personenbezogenen Daten sind zu löschen, wenn ihre Speicherung unzulässig ist. 

(4) § 29 gilt nicht. 



§ 30a Geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung 

(1) Das geschäftsmäßige Erheben, Verarbeiten oder Nutzen personenbezogener Daten für Zwecke der Markt- oder 

Meinungsforschung ist zulässig, wenn

kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss 

der Erhebung, Verarbeitung oder Nutzung hat, oder 


veröffentlichen dürfte und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, 

Verarbeitung oder Nutzung gegenüber dem Interesse der verantwortlichen Stelle nicht offensichtlich überwiegt. 

Besondere Arten personenbezogener Daten (§ 3 Absatz 9) dürfen nur für ein bestimmtes Forschungsvorhaben 

erhoben, verarbeitet oder genutzt werden. 

(2) Für Zwecke der Markt- oder Meinungsforschung erhobene oder gespeicherte personenbezogene Daten dürfen nur 

für diese Zwecke verarbeitet oder genutzt werden. Daten, die nicht aus allgemein zugänglichen Quellen entnommen 

worden sind und die die verantwortliche Stelle auch nicht veröffentlichen darf, dürfen nur für das Forschungsvorhaben 

verarbeitet oder genutzt werden, für das sie erhoben worden sind. Für einen anderen Zweck dürfen sie nur verarbeitet 

oder genutzt werden, wenn sie zuvor so anonymisiert werden, dass ein Personenbezug nicht mehr hergestellt werden 

kann. 

(3) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Zweck des Forschungsvorhabens, für 

das die Daten erhoben worden sind, möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen 

Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet 

werden können. Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies nach dem 

Zweck des Forschungsvorhabens erforderlich ist. 

(4) § 29 gilt nicht. 

(5) § 28 Absatz 4 und 6 bis 9 gilt entsprechend. 


§ 31 Besondere Zweckbindung 

Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur 

Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für 

diese Zwecke verwendet werden. 


§ 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses 

(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, 

verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines 

Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder 

Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur 

dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht 

begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung 

oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss 

der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass 

nicht unverhältnismäßig sind. 

(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne 

dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die 

Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. 

(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt. 




§ 33 Benachrichtigung des Betroffenen 

(1) Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der 

Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung 

und der Identität der verantwortlichen Stelle zu benachrichtigen. Werden personenbezogene Daten geschäftsmäßig 

zum Zweck der Übermittlung ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der erstmaligen 

Übermittlung und der Art der übermittelten Daten zu benachrichtigen. Der Betroffene ist in den Fällen der Sätze 1 und 2 

auch über die Kategorien von Empfängern zu unterrichten, soweit er nach den Umständen des Einzelfalles nicht mit der 

Übermittlung an diese rechnen muss. 

(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn 

1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 

2. die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher 

Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der Datensicherung oder der 

Datenschutzkontrolle dienen und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, 

3. die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden 

rechtlichen Interesses eines Dritten, geheimgehalten werden müssen, 

4. die Speicherung oder Übermittlung durch Gesetz ausdrücklich vorgesehen ist, 

5. die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine 

Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, 

6. 

175

176 

die zuständige öffentliche Stelle gegenüber der verantwortlichen Stelle festgestellt hat, dass das 

Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des 

Bundes oder eines Landes Nachteile bereiten würde, 

7. die Daten für eigene Zwecke gespeichert sind und 

a) aus allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl 

der betroffenen Fälle unverhältnismäßig ist, oder 

b) die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es 

sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt, 

8. die Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert sind und 

a) aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen 

beziehen, die diese Daten veröffentlicht haben, oder 

b) es sich um listenmäßig oder sonst zusammengefasste Daten handelt (§ 29 Absatz 2 Satz 2) 

und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, 

9. aus allgemein zugänglichen Quellen entnommene Daten geschäftsmäßig für Zwecke der Markt- oder 

Meinungsforschung gespeichert sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle 

unverhältnismäßig ist. 

Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung nach Satz 1 

Nr. 2 bis 7 abgesehen wird. 



(1) Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 

1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 

2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und 

3. den Zweck der Speicherung. 

Der Betroffene soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. 

Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, ist Auskunft über die 

Herkunft und die Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind. Die Auskunft über die 

Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des 

Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. 

(1a) Im Fall des § 28 Absatz 3 Satz 4 hat die übermittelnde Stelle die Herkunft der Daten und den Empfänger für die 

Dauer von zwei Jahren nach der Übermittlung zu speichern und dem Betroffenen auf Verlangen Auskunft über die 

Herkunft der Daten und den Empfänger zu erteilen. Satz 1 gilt entsprechend für den Empfänger. 

(2) Im Fall des § 28b hat die für die Entscheidung verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu 

erteilen über 

1. die innerhalb der letzten sechs Monate vor dem Zugang des Auskunftsverlangens erhobenen oder erstmalig 

gespeicherten Wahrscheinlichkeitswerte, 

2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten und 

3. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar 

in allgemein verständlicher Form. 

Satz 1 gilt entsprechend, wenn die für die Entscheidung verantwortliche Stelle 

1. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten ohne Personenbezug speichert, den 

Personenbezug aber bei der Berechnung herstellt oder 

2. bei einer anderen Stelle gespeicherte Daten nutzt. 

Hat eine andere als die für die Entscheidung verantwortliche Stelle 

1. den Wahrscheinlichkeitswert oder 

2. einen Bestandteil des Wahrscheinlichkeitswerts 

berechnet, hat sie die insoweit zur Erfüllung der Auskunftsansprüche nach den Sätzen 1 und 2 erforderlichen Angaben 

auf Verlangen der für die Entscheidung verantwortlichen Stelle an diese zu übermitteln. Im Fall des Satzes 3 Nr. 1 hat 

die für die Entscheidung verantwortliche Stelle den Betroffenen zur Geltendmachung seiner Auskunftsansprüche unter 

Angabe des Namens und der Anschrift der anderen Stelle sowie der zur Bezeichnung des Einzelfalls notwendigen 

Angaben unverzüglich an diese zu verweisen, soweit sie die Auskunft nicht selbst erteilt. In diesem Fall hat die andere 

Stelle, die den Wahrscheinlichkeitswert berechnet hat, die Auskunftsansprüche nach den Sätzen 1 und 2 gegenüber 

dem Betroffenen unentgeltlich zu erfüllen. Die Pflicht der für die Berechnung des Wahrscheinlichkeitswerts 

verantwortlichen Stelle nach Satz 3 entfällt, soweit die für die Entscheidung verantwortliche Stelle von ihrem Recht 

nach Satz 4 Gebrauch macht. 

(3) Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung speichert, hat dem 

Betroffenen auf Verlangen Auskunft über die zu seiner Person gespeicherten Daten zu erteilen, auch wenn sie weder 

automatisiert verarbeitet werden noch in einer nicht automatisierten Datei gespeichert sind. Dem Betroffenen ist auch 

Auskunft zu erteilen über Daten, die 

1. gegenwärtig noch keinen Personenbezug aufweisen, bei denen ein solcher aber im Zusammenhang mit der 

Auskunftserteilung von der verantwortlichen Stelle hergestellt werden soll,

2. die verantwortliche Stelle nicht speichert, aber zum Zweck der Auskunftserteilung nutzt. 

Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des 

Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. 

(4) Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung erhebt, speichert oder 

verändert, hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 

1. die innerhalb der letzten zwölf Monate vor dem Zugang des Auskunftsverlangens übermittelten 

Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten des Betroffenen sowie die Namen und 

letztbekannten Anschriften der Dritten, an die die Werte übermittelt worden sind, 

2. die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von der Stelle zur 

Berechnung angewandten Verfahren ergeben, 

3. die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern 1 und 2 genutzten Datenarten sowie 

4. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar 

in allgemein verständlicher Form. 

Satz 1 gilt entsprechend, wenn die verantwortliche Stelle 

1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten ohne Personenbezug speichert, den 

Personenbezug aber bei der Berechnung herstellt oder 

2. bei einer anderen Stelle gespeicherte Daten nutzt. 

(5) Die nach den Absätzen 1a bis 4 zum Zweck der Auskunftserteilung an den Betroffenen gespeicherten Daten dürfen 

nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verwendet werden; für andere Zwecke sind sie zu 

sperren. 

(6) Die Auskunft ist auf Verlangen in Textform zu erteilen, soweit nicht wegen der besonderen Umstände eine andere 

Form der Auskunftserteilung angemessen ist. 

(7) Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 

nicht zu benachrichtigen ist. 

(8) Die Auskunft ist unentgeltlich. Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung 

gespeichert, kann der Betroffene einmal je Kalenderjahr eine unentgeltliche Auskunft in Textform verlangen. Für jede 

weitere Auskunft kann ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu 

wirtschaftlichen Zwecken nutzen kann. Das Entgelt darf über die durch die Auskunftserteilung entstandenen unmittelbar 

zurechenbaren Kosten nicht hinausgehen. Ein Entgelt kann nicht verlangt werden, wenn 

1. besondere Umstände die Annahme rechtfertigen, dass Daten unrichtig oder unzulässig gespeichert werden, 

oder 

2. die Auskunft ergibt, dass die Daten nach § 35 Abs. 1 zu berichtigen oder nach § 35 Abs. 2 Satz 2 Nr. 1 zu 

löschen sind. 

(9) Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich im Rahmen seines 

Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten zu verschaffen. Er ist hierauf hinzuweisen. 


§ 35 Berichtigung, Löschung und Sperrung von Daten 

(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Geschätzte Daten sind als solche deutlich zu 

kennzeichnen. 

(2) Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. 

Personenbezogene Daten sind zu löschen, wenn 

1. ihre Speicherung unzulässig ist, 

2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder 

philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen 

oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden 

kann, 

3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung 

nicht mehr erforderlich ist, oder 

4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des 

vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht 

widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen 

Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist. 

Personenbezogene Daten, die auf der Grundlage von § 28a Abs. 2 Satz 1 oder § 29 Abs. 1 Satz 1 Nr. 3 gespeichert 

werden, sind nach Beendigung des Vertrages auch zu löschen, wenn der Betroffene dies verlangt. 

(3) An die Stelle einer Löschung tritt eine Sperrung, soweit 

1. im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche 

Aufbewahrungsfristen entgegenstehen, 

2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen 

beeinträchtigt würden, oder 

3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem 

Aufwand möglich ist. 

(4) Personenbezogene Daten sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich 

weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. 

177

178 

(4a) Die Tatsache der Sperrung darf nicht übermittelt werden. 

(5) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht 

automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der 

verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen 

seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung 

oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung 

verpflichtet. 

(6) Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wird, müssen bei der 

geschäftsmäßigen Datenspeicherung zum Zweck der Übermittlung außer in den Fällen des Absatzes 2 Nr. 2 nicht 

berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein zugänglichen Quellen entnommen und zu 

Dokumentationszwecken gespeichert sind. Auf Verlangen des Betroffenen ist diesen Daten für die Dauer der 

Speicherung seine Gegendarstellung beizufügen. Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt 

werden. 

(7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen 

Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese 

Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und 

schutzwürdige Interessen des Betroffenen nicht entgegenstehen. 

(8) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn 

1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im 

überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerläßlich ist und 

2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. 


(weggefallen) 



Aufsichtsbehörde 

§§ 36 und 37 

§ 38 Aufsichtsbehörde 

(1) Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den 

Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder 

Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der 

Mitgliedstaaten in den Fällen des § 1 Abs. 5. Sie berät und unterstützt die Beauftragten für den Datenschutz und die 

verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse. Die Aufsichtsbehörde darf die von ihr 

gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2 Nr. 1 bis 3, 6 und 7 gilt 

entsprechend. Insbesondere darf die Aufsichtsbehörde zum Zweck der Aufsicht Daten an andere Aufsichtsbehörden 

übermitteln. Sie leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen 

ergänzende Hilfe (Amtshilfe). Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder andere Vorschriften 

über den Datenschutz fest, so ist sie befugt, die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die 

Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die 

Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. Sie veröffentlicht 

regelmäßig, spätestens alle zwei Jahre, einen Tätigkeitsbericht. § 21 Satz 1 und § 23 Abs. 5 Satz 4 bis 7 gelten 

entsprechend. 

(2) Die Aufsichtsbehörde führt ein Register der nach § 4d meldepflichtigen automatisierten Verarbeitungen mit den 

Angaben nach § 4e Satz 1. Das Register kann von jedem eingesehen werden. Das Einsichtsrecht erstreckt sich nicht 

auf die Angaben nach § 4e Satz 1 Nr. 9 sowie auf die Angabe der zugriffsberechtigten Personen. 

(3) Die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben der 

Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. 

Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der 

in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung 

oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Der Auskunftspflichtige ist 

darauf hinzuweisen. 

(4) Die von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen sind befugt, soweit es zur Erfüllung der der 

Aufsichtsbehörde übertragenen Aufgaben erforderlich ist, während der Betriebs- und Geschäftszeiten Grundstücke und 

Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Sie können 

geschäftliche Unterlagen, insbesondere die Übersicht nach § 4g Abs. 2 Satz 1 sowie die gespeicherten 

personenbezogenen Daten und die Datenverarbeitungsprogramme, einsehen. § 24 Abs. 6 gilt entsprechend. Der 

Auskunftspflichtige hat diese Maßnahmen zu dulden. 

(5) Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die 

Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung 

personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden 

Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts 

verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, 

wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes 

nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz 

verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt. 

(6) Die Landesregierungen oder die von ihnen ermächtigten Stellen bestimmen die für die Kontrolle der Durchführung 

des Datenschutzes im Anwendungsbereich dieses Abschnittes zuständigen Aufsichtsbehörden.

(7) Die Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnittes unterliegenden Gewerbebetriebe 

bleibt unberührt. 


§ 38a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen 

(1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können 

Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der 

zuständigen Aufsichtsbehörde unterbreiten. 

(2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden 

Datenschutzrecht. 


Vierter Abschnitt 

Sondervorschriften 

§ 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis 

unterliegen 

(1) Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur 

Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, 

dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. 

In die Übermittlung an eine nicht-öffentliche Stelle muss die zur Verschwiegenheit verpflichtete Stelle einwilligen. 

(2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks 

durch besonderes Gesetz zugelassen ist. 


§ 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen 

(1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für 

Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden. 

(2) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis 

dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche 

Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den 

Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert. 

(3) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn 

1. der Betroffene eingewilligt hat oder 

2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist. 


§ 41 Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien 

(1) Die Länder haben in ihrer Gesetzgebung vorzusehen, dass für die Erhebung, Verarbeitung und Nutzung 

personenbezogener Daten von Unternehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen 

journalistisch-redaktionellen oder literarischen Zwecken den Vorschriften der §§ 5, 9 und 38a entsprechende 

Regelungen einschließlich einer hierauf bezogenen Haftungsregelung entsprechend § 7 zur Anwendung kommen. 

(2) Führt die journalistisch-redaktionelle Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch die 

Deutsche Welle zur Veröffentlichung von Gegendarstellungen des Betroffenen, so sind diese Gegendarstellungen zu 

den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst. 

(3) Wird jemand durch eine Berichterstattung der Deutschen Welle in seinem Persönlichkeitsrecht beeinträchtigt, so 

kann er Auskunft über die der Berichterstattung zugrunde liegenden, zu seiner Person gespeicherten Daten verlangen. 

Die Auskunft kann nach Abwägung der schutzwürdigen Interessen der Beteiligten verweigert werden, soweit 

1. aus den Daten auf Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Rundfunksendungen 

berufsmäßig journalistisch mitwirken oder mitgewirkt haben, geschlossen werden kann, 

2. aus den Daten auf die Person des Einsenders oder des Gewährsträgers von Beiträgen, Unterlagen und 

Mitteilungen für den redaktionellen Teil geschlossen werden kann, 

3. durch die Mitteilung der recherchierten oder sonst erlangten Daten die journalistische Aufgabe der Deutschen 

Welle durch Ausforschung des Informationsbestandes beeinträchtigt würde. 

Der Betroffene kann die Berichtigung unrichtiger Daten verlangen. 

(4) Im Übrigen gelten für die Deutsche Welle von den Vorschriften dieses Gesetzes die §§ 5, 7, 9 und 38a. Anstelle der 

§§ 24 bis 26 gilt § 42, auch soweit es sich um Verwaltungsangelegenheiten handelt. 


§ 42 Datenschutzbeauftragter der Deutschen Welle 

(1) Die Deutsche Welle bestellt einen Beauftragten für den Datenschutz, der an die Stelle des Bundesbeauftragten für 

den Datenschutz und die Informationsfreiheit tritt. Die Bestellung erfolgt auf Vorschlag des Intendanten durch den 

Verwaltungsrat für die Dauer von vier Jahren, wobei Wiederbestellungen zulässig sind. Das Amt eines Beauftragten für 

den Datenschutz kann neben anderen Aufgaben innerhalb der Rundfunkanstalt wahrgenommen werden. 

179

180 

(2) Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer 

Vorschriften über den Datenschutz. Er ist in Ausübung dieses Amtes unabhängig und nur dem Gesetz unterworfen. Im 

Übrigen untersteht er der Dienst- und Rechtsaufsicht des Verwaltungsrates. 

(3) Jedermann kann sich entsprechend § 21 Satz 1 an den Beauftragten für den Datenschutz wenden. 

(4) Der Beauftragte für den Datenschutz erstattet den Organen der Deutschen Welle alle zwei Jahre, erstmals zum 1. 

Januar 1994 einen Tätigkeitsbericht. Er erstattet darüber hinaus besondere Berichte auf Beschluss eines Organes der 

Deutschen Welle. Die Tätigkeitsberichte übermittelt der Beauftragte auch an den Bundesbeauftragten für den 

Datenschutz und die Informationsfreiheit. 

(5) Weitere Regelungen entsprechend den §§ 23 bis 26 trifft die Deutsche Welle für ihren Bereich. Die §§ 4f und 4g 

bleiben unberührt. 


§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten 

Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 

Nummer 2 fest, dass bei ihr gespeicherte 

1. besondere Arten personenbezogener Daten (§ 3 Absatz 9), 

2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 

3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht 

strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder 

4. personenbezogene Daten zu Bank- oder Kreditkartenkonten 

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen 

schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach 

den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die 

Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der 

Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die 

Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und 

Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der 

zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen 

Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung 

der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der 

betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite 

umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit 

hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Eine Benachrichtigung, die der 

Benachrichtigungspflichtige erteilt hat, darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über 

Ordnungswidrigkeiten gegen ihn oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des 

Benachrichtigungspflichtigen nur mit Zustimmung des Benachrichtigungspflichtigen verwendet werden. 


Fünfter Abschnitt 

Schlussvorschriften 

§ 43 Bußgeldvorschriften 

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 

1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig 

oder nicht rechtzeitig macht, 

2. entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den 

Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, 

2a. entgegen § 10 Absatz 4 Satz 3 nicht gewährleistet, dass die Datenübermittlung festgestellt und überprüft 

werden kann, 

2b. entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen 

Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der 

Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, 

3. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig unterrichtet oder nicht 

sicherstellt, dass der Betroffene Kenntnis erhalten kann, 

3a. entgegen § 28 Absatz 4 Satz 4 eine strengere Form verlangt, 

4. entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt, 

4a. entgegen § 28a Abs. 3 Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, 

5. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften 

Darlegung nicht aufzeichnet, 

6. entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektronische oder gedruckte Adress-, Rufnummern- 

, Branchen- oder vergleichbare Verzeichnisse aufnimmt, 

7. entgegen § 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt, 

7a. entgegen § 29 Abs. 6 ein Auskunftsverlangen nicht richtig behandelt,

7b. entgegen § 29 Abs. 7 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig 

unterrichtet, 

8. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt, 

8a. entgegen § 34 Absatz 1 Satz 1, auch in Verbindung mit Satz 3, entgegen § 34 Absatz 1a, entgegen § 34 

Absatz 2 Satz 1, auch in Verbindung mit Satz 2, oder entgegen § 34 Absatz 2 Satz 5, Absatz 3 Satz 1 oder 

Satz 2 oder Absatz 4 Satz 1, auch in Verbindung mit Satz 2, eine Auskunft nicht, nicht richtig, nicht vollständig 

oder nicht rechtzeitig erteilt oder entgegen § 34 Absatz 1a Daten nicht speichert, 

8b. entgegen § 34 Abs. 2 Satz 3 Angaben nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt, 

8c. entgegen § 34 Abs. 2 Satz 4 den Betroffenen nicht oder nicht rechtzeitig an die andere Stelle verweist, 

9. entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt, 

10. entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht 

rechtzeitig erteilt oder eine Maßnahme nicht duldet oder 

11. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt. 

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 

1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, 

2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten 

Verfahrens bereithält, 

3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen 

aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft, 

4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige 

Angaben erschleicht, 

5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder 

§ 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt, 

5a. entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig 

macht, 

5b. entgegen § 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung 

verarbeitet oder nutzt, 

6. entgegen § 30 Absatz 1 Satz 2, § 30a Absatz 3 Satz 3 oder § 40 Absatz 2 Satz 3 ein dort genanntes Merkmal 

mit einer Einzelangabe zusammenführt oder 

7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht. 

(3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen 

des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den 

wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 

genannten Beträge hierfür nicht aus, so können sie überschritten werden. 


§ 44 Strafvorschriften 

(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen 

anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit 

Geldstrafe bestraft. 

(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der 

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde. 


Sechster Abschnitt 

Übergangsvorschriften 

§ 45 Laufende Verwendungen 

Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23. Mai 2001 bereits begonnen 

haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu 

bringen. Soweit Vorschriften dieses Gesetzes in Rechtsvorschriften außerhalb des Anwendungsbereichs der Richtlinie 

95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei 

der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zur Anwendung gelangen, sind Erhebungen, 

Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23. Mai 2001 bereits begonnen haben, binnen fünf 

Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. 


§ 46 Weitergeltung von Begriffsbestimmungen 

(1) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Datei verwendet, ist Datei 

1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen 

ausgewertet werden kann (automatisierte Datei), oder 

181

182 

2. jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten 

Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht automatisierte Datei). 

Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, dass sie durch automatisierte Verfahren umgeordnet 

und ausgewertet werden können. 

(2) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Akte verwendet, ist Akte jede amtlichen oder 

dienstlichen Zwecken dienende Unterlage, die nicht dem Dateibegriff des Absatzes 1 unterfällt; dazu zählen auch Bildund 

Tonträger. Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen. 

(3) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Empfänger verwendet, ist Empfänger jede Person 

oder Stelle außerhalb der verantwortlichen Stelle. Empfänger sind nicht der Betroffene sowie Personen und Stellen, die 

im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des 

Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder 

nutzen. 


§ 47 Übergangsregelung 

Für die Verarbeitung und Nutzung vor dem 1. September 2009 erhobener oder gespeicherter Daten ist § 28 in der bis 

dahin geltenden Fassung weiter anzuwenden 

1. für Zwecke der Markt- oder Meinungsforschung bis zum 31. August 2010, 

2. für Zwecke der Werbung bis zum 31. August 2012. 


Die Bundesregierung berichtet dem Bundestag 

§ 48 Bericht der Bundesregierung 

1. bis zum 31. Dezember 2012 über die Auswirkungen der §§ 30a und 42a, 

2. bis zum 31. Dezember 2014 über die Auswirkungen der Änderungen der §§ 28 und 29. 

Sofern sich aus Sicht der Bundesregierung gesetzgeberische Maßnahmen empfehlen, soll der Bericht einen Vorschlag 

enthalten. 


Anlage (zu § 9 Satz 1) 

(Fundstelle des Originaltextes: BGBl. I 2003, 88; 

bzgl. der einzelnen Änderungen vgl. Fußnote) 

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche 

Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind 

insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder 

Datenkategorien geeignet sind, 

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder 

genutzt werden, zu verwehren (Zutrittskontrolle), 

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf 

die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei 

der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt 

werden können (Zugriffskontrolle), 

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres 

Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt 

werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung 

personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem 

personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind 

(Eingabekontrolle), 

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den 

Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind 

(Verfügbarkeitskontrolle), 

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik 

entsprechenden Verschlüsselungsverfahren. 

zum Seitenanfang Datenschutz 

Seite ausdrucken

Daten ohne Schutz: GlÃÂ¤serne Belegschaften? GlÃÂ¤serne Betriebe ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?

Daten ohne Schutz: GlÃÂ¤serne Belegschaften? GlÃÂ¤serne Betriebe ...